Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Les packs de conformité fournissent un cadre de conformité à usage général conçu pour vous permettre de créer des contrôles de gouvernance en matière de sécurité, d'exploitation ou d'optimisation des coûts à l'aide de AWS Config règles gérées ou personnalisées et d'actions correctives. AWS Config Les packs de conformité, en tant qu'exemples de modèle, ne sont pas conçus pour garantir pleinement la conformité à une norme de gouvernance ou de conformité spécifique. Il vous incombe de déterminer vous-même si votre utilisation des services est conforme aux exigences légales et réglementaires applicables.
Vous trouverez ci-dessous un exemple de mappage entre le Federal Risk and Authorization Management Program (FedRAMP) et les règles de configuration AWS gérées. Chaque règle Config s'applique à une AWS ressource spécifique et concerne un ou plusieurs contrôles FedRAMP. Un contrôle FedRAMP peut être associé à plusieurs règles de configuration. Reportez-vous au tableau ci-dessous pour obtenir plus de détails et des conseils relatifs à ces mappages.
| ID du contrôle | Description du contrôle | AWS Règle de configuration | Conseils |
|---|---|---|---|
| AC-17(1) | Le système d'information surveille et contrôle les méthodes d'accès à distance. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| AC-17(1) | Le système d'information surveille et contrôle les méthodes d'accès à distance. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| AC-17(1) | Le système d'information surveille et contrôle les méthodes d'accès à distance. | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| AC-17(1) | Le système d'information surveille et contrôle les méthodes d'accès à distance. | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| AC-17(1) | Le système d'information surveille et contrôle les méthodes d'accès à distance. | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les EC2 instances Amazon peuvent contenir des informations sensibles et un contrôle d'accès est requis pour ces comptes. | |
| AC-17(1) | Le système d'information surveille et contrôle les méthodes d'accès à distance. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
| AC-17(1) | Le système d'information surveille et contrôle les méthodes d'accès à distance. | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| AC-17(1) | Le système d'information surveille et contrôle les méthodes d'accès à distance. | Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et d'autres services au sein d'Amazon VPC, sans avoir besoin de passerelle Internet, d'appareil NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez EC2 des instances Amazon à un Amazon VPC pour gérer correctement l'accès. | |
| AC-17(1) | Le système d'information surveille et contrôle les méthodes d'accès à distance. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
| AC-17(1) | Le système d'information surveille et contrôle les méthodes d'accès à distance. | Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC. | |
| AC-17(1) | Le système d'information surveille et contrôle les méthodes d'accès à distance. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| AC-17(1) | Le système d'information surveille et contrôle les méthodes d'accès à distance. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| AC-17(1) | Le système d'information surveille et contrôle les méthodes d'accès à distance. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| AC-17(1) | Le système d'information surveille et contrôle les méthodes d'accès à distance. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont limités sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| AC-17(1) | Le système d'information surveille et contrôle les méthodes d'accès à distance. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
| AC-17(1) | Le système d'information surveille et contrôle les méthodes d'accès à distance. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| AC-17(1) | Le système d'information surveille et contrôle les méthodes d'accès à distance. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
| AC-17(1) | Le système d'information surveille et contrôle les méthodes d'accès à distance. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| AC-17(1) | Le système d'information surveille et contrôle les méthodes d'accès à distance. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| AC-17(1) | Le système d'information surveille et contrôle les méthodes d'accès à distance. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
| AC-17(1) | Le système d'information surveille et contrôle les méthodes d'accès à distance. | Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux sur lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale. | |
| AC-17(1) | Le système d'information surveille et contrôle les méthodes d'accès à distance. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
| AC-17(1) | Le système d'information surveille et contrôle les méthodes d'accès à distance. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
| AC-17(2) | Le système d'information met en œuvre des mécanismes de chiffrement pour protéger la confidentialité et l'intégrité des sessions d'accès à distance. | Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| AC-17(2) | Le système d'information met en œuvre des mécanismes de chiffrement pour protéger la confidentialité et l'intégrité des sessions d'accès à distance. | Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| AC-17(2) | Le système d'information met en œuvre des mécanismes de chiffrement pour protéger la confidentialité et l'intégrité des sessions d'accès à distance. | Assurez-vous que l'intégrité du réseau est protégée en vous assurant que les certificats X509 sont émis par AWS ACM. Ces certificats doivent être valides et non expirés. Cette règle nécessite une valeur pour daysToExpiration (valeur des meilleures pratiques de sécuritéAWS fondamentales : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| AC-17(2) | Le système d'information met en œuvre des mécanismes de chiffrement pour protéger la confidentialité et l'intégrité des sessions d'accès à distance. | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| AC-17(2) | Le système d'information met en œuvre des mécanismes de chiffrement pour protéger la confidentialité et l'intégrité des sessions d'accès à distance. | Assurez-vous que vos Elastic Load Balancers (ELBs) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| AC-17(2) | Le système d'information met en œuvre des mécanismes de chiffrement pour protéger la confidentialité et l'intégrité des sessions d'accès à distance. | REMPLIR CECI | |
| AC-17(2) | Le système d'information met en œuvre des mécanismes de chiffrement pour protéger la confidentialité et l'intégrité des sessions d'accès à distance. | Assurez-vous que les étapes de l'API REST Amazon API Gateway sont configurées avec des certificats SSL pour permettre aux systèmes backend d'authentifier que les demandes proviennent d'API Gateway. | |
| AC-2(1) | L'organisation utilise des mécanismes automatisés pour faciliter la gestion des comptes du système d'information. | Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| AC-2(1) | L'organisation utilise des mécanismes automatisés pour faciliter la gestion des comptes du système d'information. | Les informations d'identification sont vérifiées pour les appareils, les utilisateurs et les processus autorisés en veillant à ce que les clés d'accès IAM fassent l'objet d'une rotation conformément à la politique de l'organisation. La modification régulière des clés d'accès est une bonne pratique de sécurité. Cela permet de raccourcir la période pendant laquelle une clé d'accès est active et de réduire l'impact commercial en cas de compromission des clés. Cette règle nécessite une valeur de rotation des clés d'accès (configuration par défaut : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| AC-2(1) | L'organisation utilise des mécanismes automatisés pour faciliter la gestion des comptes du système d'information. | AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| AC-2(1) | L'organisation utilise des mécanismes automatisés pour faciliter la gestion des comptes du système d'information. | AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès, en veillant à ce que les utilisateurs IAM soient membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| AC-2(1) | L'organisation utilise des mécanismes automatisés pour faciliter la gestion des comptes du système d'information. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| AC-2(1) | L'organisation utilise des mécanismes automatisés pour faciliter la gestion des comptes du système d'information. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| AC-2(1) | L'organisation utilise des mécanismes automatisés pour faciliter la gestion des comptes du système d'information. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
| AC-2(1) | L'organisation utilise des mécanismes automatisés pour faciliter la gestion des comptes du système d'information. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| AC-2(1) | L'organisation utilise des mécanismes automatisés pour faciliter la gestion des comptes du système d'information. | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt des AWS comptes basés sur les rôles pour intégrer le principe de moindre fonctionnalité. | |
| AC-2(1) | L'organisation utilise des mécanismes automatisés pour faciliter la gestion des comptes du système d'information. | Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs IAM. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs IAM. | |
| AC-2(1) | L'organisation utilise des mécanismes automatisés pour faciliter la gestion des comptes du système d'information. | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
| AC-2(1) | L'organisation utilise des mécanismes automatisés pour faciliter la gestion des comptes du système d'information. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. En exigeant le MFA pour les utilisateurs IAM, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles. | |
| AC-2(12)(a) | L'organisation : a. Surveille les comptes du système d'information pour [Attribution : utilisation atypique définie par l'organisation]. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| AC-2(12)(a) | L'organisation : a. Surveille les comptes du système d'information pour [Attribution : utilisation atypique définie par l'organisation]. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| AC-2(3) | Le système d'information désactive automatiquement les comptes inactifs après 90 jours pour les comptes utilisateurs. | AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| AC-2(3) | Le système d'information désactive automatiquement les comptes inactifs après 90 jours pour les comptes utilisateurs. | Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| AC-2(4) | Le système d'information audite automatiquement les actions de création, de modification, d'activation, de désactivation et de suppression de comptes, et notifie [Attribution : personnel ou rôles définis par l'organisation]. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| AC-2(4) | Le système d'information audite automatiquement les actions de création, de modification, d'activation, de désactivation et de suppression de comptes, et notifie [Attribution : personnel ou rôles définis par l'organisation]. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| AC-2(4) | Le système d'information audite automatiquement les actions de création, de modification, d'activation, de désactivation et de suppression de comptes, et notifie [Attribution : personnel ou rôles définis par l'organisation]. | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API dans votre AWS compte. | |
| AC-2(4) | Le système d'information audite automatiquement les actions de création, de modification, d'activation, de désactivation et de suppression de comptes, et notifie [Attribution : personnel ou rôles définis par l'organisation]. | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les AWS comptes qui ont appelé un AWS service, l'adresse IP source à partir de laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
| AC-2(4) | Le système d'information audite automatiquement les actions de création, de modification, d'activation, de désactivation et de suppression de comptes, et notifie [Attribution : personnel ou rôles définis par l'organisation]. | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
| AC-2(4) | Le système d'information audite automatiquement les actions de création, de modification, d'activation, de désactivation et de suppression de comptes, et notifie [Attribution : personnel ou rôles définis par l'organisation]. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
| AC-2(4) | Le système d'information audite automatiquement les actions de création, de modification, d'activation, de désactivation et de suppression de comptes, et notifie [Attribution : personnel ou rôles définis par l'organisation]. | Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement. | |
| AC-2(4) | Le système d'information audite automatiquement les actions de création, de modification, d'activation, de désactivation et de suppression de comptes, et notifie [Attribution : personnel ou rôles définis par l'organisation]. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| AC-2(4) | Le système d'information audite automatiquement les actions de création, de modification, d'activation, de désactivation et de suppression de comptes, et notifie [Attribution : personnel ou rôles définis par l'organisation]. | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
| AC-2(4) | Le système d'information audite automatiquement les actions de création, de modification, d'activation, de désactivation et de suppression de comptes, et notifie [Attribution : personnel ou rôles définis par l'organisation]. | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du AWS compte qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
| AC-2(f) | L'organisation : f. Crée, active, modifie, désactive et supprime les comptes du système d'information conformément à [Attribution : procédures ou conditions définies par l'organisation]. | AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| AC-2(f) | L'organisation : f. Crée, active, modifie, désactive et supprime les comptes du système d'information conformément à [Attribution : procédures ou conditions définies par l'organisation]. | Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| AC-2(f) | L'organisation : f. Crée, active, modifie, désactive et supprime les comptes du système d'information conformément à [Attribution : procédures ou conditions définies par l'organisation]. | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt des AWS comptes basés sur les rôles pour intégrer le principe de moindre fonctionnalité. | |
| AC-2(f) | L'organisation : f. Crée, active, modifie, désactive et supprime les comptes du système d'information conformément à [Attribution : procédures ou conditions définies par l'organisation]. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : kms: Déchiffrer, kms:ReEncryptFrom). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| AC-2(f) | L'organisation : f. Crée, active, modifie, désactive et supprime les comptes du système d'information conformément à [Attribution : procédures ou conditions définies par l'organisation]. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
| AC-2(f) | L'organisation : f. Crée, active, modifie, désactive et supprime les comptes du système d'information conformément à [Attribution : procédures ou conditions définies par l'organisation]. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| AC-2(f) | L'organisation : f. Crée, active, modifie, désactive et supprime les comptes du système d'information conformément à [Attribution : procédures ou conditions définies par l'organisation]. | Les informations d'identification sont vérifiées pour les appareils, les utilisateurs et les processus autorisés en veillant à ce que les clés d'accès IAM fassent l'objet d'une rotation conformément à la politique de l'organisation. La modification régulière des clés d'accès est une bonne pratique de sécurité. Cela permet de raccourcir la période pendant laquelle une clé d'accès est active et de réduire l'impact commercial en cas de compromission des clés. Cette règle nécessite une valeur de rotation des clés d'accès (configuration par défaut : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| AC-2(f) | L'organisation : f. Crée, active, modifie, désactive et supprime les comptes du système d'information conformément à [Attribution : procédures ou conditions définies par l'organisation]. | AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès, en veillant à ce que les utilisateurs IAM soient membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| AC-2(f) | L'organisation : f. Crée, active, modifie, désactive et supprime les comptes du système d'information conformément à [Attribution : procédures ou conditions définies par l'organisation]. | Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs IAM. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs IAM. | |
| AC-2(f) | L'organisation : f. Crée, active, modifie, désactive et supprime les comptes du système d'information conformément à [Attribution : procédures ou conditions définies par l'organisation]. | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
| AC-2(f) | L'organisation : f. Crée, active, modifie, désactive et supprime les comptes du système d'information conformément à [Attribution : procédures ou conditions définies par l'organisation]. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. En exigeant le MFA pour les utilisateurs IAM, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles. | |
| AC-2(f) | L'organisation : f. Crée, active, modifie, désactive et supprime les comptes du système d'information conformément à [Attribution : procédures ou conditions définies par l'organisation]. | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| AC-2(g) | L'organisation : g. Surveille l'utilisation des comptes du système d'information. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| AC-2(g) | L'organisation : g. Surveille l'utilisation des comptes du système d'information. | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
| AC-2 (g) | L'organisation : g. Surveille l'utilisation des comptes du système d'information. | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les AWS comptes qui ont appelé un AWS service, l'adresse IP source à partir de laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
| AC-2(g) | L'organisation : g. Surveille l'utilisation des comptes du système d'information. | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du AWS compte qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
| AC-2(g) | L'organisation : g. Surveille l'utilisation des comptes du système d'information. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| AC-2(g) | L'organisation : g. Surveille l'utilisation des comptes du système d'information. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| AC-2(g) | L'organisation : g. Surveille l'utilisation des comptes du système d'information. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
| AC-2(g) | L'organisation : g. Surveille l'utilisation des comptes du système d'information. | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API dans votre AWS compte. | |
| AC-2(g) | L'organisation : g. Surveille l'utilisation des comptes du système d'information. | La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs. | |
| AC-2(g) | L'organisation : g. Surveille l'utilisation des comptes du système d'information. | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
| AC-2(g) | L'organisation : g. Surveille l'utilisation des comptes du système d'information. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur le Web ACLs régional et mondial. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait. | |
| AC-2(g) | L'organisation : g. Surveille l'utilisation des comptes du système d'information. | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| AC-2(j) | L'organisation : j. Vérifie la conformité des comptes aux exigences de gestion des comptes [Attribution : fréquence définie par l'organisation]. | AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès, en veillant à ce que les utilisateurs IAM soient membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| AC-2(j) | L'organisation : j. Vérifie la conformité des comptes aux exigences de gestion des comptes [Attribution : fréquence définie par l'organisation]. | Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| AC-2(j) | L'organisation : j. Vérifie la conformité des comptes aux exigences de gestion des comptes [Attribution : fréquence définie par l'organisation]. | Les informations d'identification sont vérifiées pour les appareils, les utilisateurs et les processus autorisés en veillant à ce que les clés d'accès IAM fassent l'objet d'une rotation conformément à la politique de l'organisation. La modification régulière des clés d'accès est une bonne pratique de sécurité. Cela permet de raccourcir la période pendant laquelle une clé d'accès est active et de réduire l'impact commercial en cas de compromission des clés. Cette règle nécessite une valeur de rotation des clés d'accès (configuration par défaut : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| AC-2(j) | L'organisation : j. Vérifie la conformité des comptes aux exigences de gestion des comptes [Attribution : fréquence définie par l'organisation]. | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt des AWS comptes basés sur les rôles pour intégrer le principe de moindre fonctionnalité. | |
| AC-2(j) | L'organisation : j. Vérifie la conformité des comptes aux exigences de gestion des comptes [Attribution : fréquence définie par l'organisation]. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur IAM. Placer les utilisateurs IAM dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est un moyen d'intégrer le moindre privilège. | |
| AC-2(j) | L'organisation : j. Vérifie la conformité des comptes aux exigences de gestion des comptes [Attribution : fréquence définie par l'organisation]. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| AC-2(j) | L'organisation : j. Vérifie la conformité des comptes aux exigences de gestion des comptes [Attribution : fréquence définie par l'organisation]. | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
| AC-2(j) | L'organisation : j. Vérifie la conformité des comptes aux exigences de gestion des comptes [Attribution : fréquence définie par l'organisation]. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : kms: Déchiffrer, kms:ReEncryptFrom). Les valeurs réelles doivent refléter les politiques de votre organisation | |
| AC-2(j) | L'organisation : j. Vérifie la conformité des comptes aux exigences de gestion des comptes [Attribution : fréquence définie par l'organisation]. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : kms: Déchiffrer, kms:ReEncryptFrom). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| AC-2(j) | L'organisation : j. Vérifie la conformité des comptes aux exigences de gestion des comptes [Attribution : fréquence définie par l'organisation]. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
| AC-2(j) | L'organisation : j. Vérifie la conformité des comptes aux exigences de gestion des comptes [Attribution : fréquence définie par l'organisation]. | Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs IAM. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs IAM. | |
| AC-2(j) | L'organisation : j. Vérifie la conformité des comptes aux exigences de gestion des comptes [Attribution : fréquence définie par l'organisation]. | AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| AC-2(j) | L'organisation : j. Vérifie la conformité des comptes aux exigences de gestion des comptes [Attribution : fréquence définie par l'organisation]. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. En exigeant le MFA pour les utilisateurs IAM, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles. | |
| AC-2(j) | L'organisation : j. Vérifie la conformité des comptes aux exigences de gestion des comptes [Attribution : fréquence définie par l'organisation]. | EC2 les profils d'instance transmettent un rôle IAM à une EC2 instance. L'association d'un profil d'instance à vos instances peut faciliter la gestion du moindre privilège et des autorisations. | |
| AC-2(j) | L'organisation : j. Vérifie la conformité des comptes aux exigences de gestion des comptes [Attribution : fréquence définie par l'organisation]. | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| AC-2(j) | L'organisation : j. Vérifie la conformité des comptes aux exigences de gestion des comptes [Attribution : fréquence définie par l'organisation]. | Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges. | |
| AC-21(b) | L'organisation : b. Utilise [Attribution : mécanismes automatisés ou processus manuels définis par l'organisation] pour aider les utilisateurs à prendre des décisions en matière de partage d'informations/de collaboration. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
| AC-21(b) | L'organisation : b. Utilise [Attribution : mécanismes automatisés ou processus manuels définis par l'organisation] pour aider les utilisateurs à prendre des décisions en matière de partage d'informations/de collaboration. | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| AC-21(b) | L'organisation : b. Utilise [Attribution : mécanismes automatisés ou processus manuels définis par l'organisation] pour aider les utilisateurs à prendre des décisions en matière de partage d'informations/de collaboration. | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| AC-21(b) | L'organisation : b. Utilise [Attribution : mécanismes automatisés ou processus manuels définis par l'organisation] pour aider les utilisateurs à prendre des décisions en matière de partage d'informations/de collaboration. | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les EC2 instances Amazon peuvent contenir des informations sensibles et un contrôle d'accès est requis pour ces comptes. | |
| AC-21(b) | L'organisation : b. Utilise [Attribution : mécanismes automatisés ou processus manuels définis par l'organisation] pour aider les utilisateurs à prendre des décisions en matière de partage d'informations/de collaboration. | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| AC-21(b) | L'organisation : b. Utilise [Attribution : mécanismes automatisés ou processus manuels définis par l'organisation] pour aider les utilisateurs à prendre des décisions en matière de partage d'informations/de collaboration. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
| AC-21(b) | L'organisation : b. Utilise [Attribution : mécanismes automatisés ou processus manuels définis par l'organisation] pour aider les utilisateurs à prendre des décisions en matière de partage d'informations/de collaboration. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| AC-21(b) | L'organisation : b. Utilise [Attribution : mécanismes automatisés ou processus manuels définis par l'organisation] pour aider les utilisateurs à prendre des décisions en matière de partage d'informations/de collaboration. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| AC-21(b) | L'organisation : b. Utilise [Attribution : mécanismes automatisés ou processus manuels définis par l'organisation] pour aider les utilisateurs à prendre des décisions en matière de partage d'informations/de collaboration. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| AC-21(b) | L'organisation : b. Utilise [Attribution : mécanismes automatisés ou processus manuels définis par l'organisation] pour aider les utilisateurs à prendre des décisions en matière de partage d'informations/de collaboration. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| AC-21(b) | L'organisation : b. Utilise [Attribution : mécanismes automatisés ou processus manuels définis par l'organisation] pour aider les utilisateurs à prendre des décisions en matière de partage d'informations/de collaboration. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| AC-21(b) | L'organisation : b. Utilise [Attribution : mécanismes automatisés ou processus manuels définis par l'organisation] pour aider les utilisateurs à prendre des décisions en matière de partage d'informations/de collaboration. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont limités sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| AC-21(b) | L'organisation : b. Utilise [Attribution : mécanismes automatisés ou processus manuels définis par l'organisation] pour aider les utilisateurs à prendre des décisions en matière de partage d'informations/de collaboration. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
| AC-21(b) | L'organisation : b. Utilise [Attribution : mécanismes automatisés ou processus manuels définis par l'organisation] pour aider les utilisateurs à prendre des décisions en matière de partage d'informations/de collaboration. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
| AC-21(b) | L'organisation : b. Utilise [Attribution : mécanismes automatisés ou processus manuels définis par l'organisation] pour aider les utilisateurs à prendre des décisions en matière de partage d'informations/de collaboration. | Assurez-vous que les tables de EC2 routage Amazon ne disposent pas de routes illimitées vers une passerelle Internet. La suppression ou la limitation de l'accès à Internet pour les charges de travail au sein d'Amazon VPCs peut réduire les accès involontaires au sein de votre environnement. | |
| AC-21(b) | L'organisation : b. Utilise [Attribution : mécanismes automatisés ou processus manuels définis par l'organisation] pour aider les utilisateurs à prendre des décisions en matière de partage d'informations/de collaboration. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
| AC-21(b) | L'organisation : b. Utilise [Attribution : mécanismes automatisés ou processus manuels définis par l'organisation] pour aider les utilisateurs à prendre des décisions en matière de partage d'informations/de collaboration. | Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux sur lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale. | |
| AC-21(b) | L'organisation : b. Utilise [Attribution : mécanismes automatisés ou processus manuels définis par l'organisation] pour aider les utilisateurs à prendre des décisions en matière de partage d'informations/de collaboration. | Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. EC2 les ressources ne doivent pas être accessibles au public, car cela peut permettre un accès involontaire à vos applications ou à vos serveurs. | |
| AC-21(b) | L'organisation : b. Utilise [Attribution : mécanismes automatisés ou processus manuels définis par l'organisation] pour aider les utilisateurs à prendre des décisions en matière de partage d'informations/de collaboration. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| AC-3 | Le système d'information applique les autorisations approuvées pour l'accès logique aux informations et aux ressources du système conformément aux politiques de contrôle d'accès applicables. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| AC-3 | Le système d'information applique les autorisations approuvées pour l'accès logique aux informations et aux ressources du système conformément aux politiques de contrôle d'accès applicables. | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
| AC-3 | Le système d'information applique les autorisations approuvées pour l'accès logique aux informations et aux ressources du système conformément aux politiques de contrôle d'accès applicables. | AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| AC-3 | Le système d'information applique les autorisations approuvées pour l'accès logique aux informations et aux ressources du système conformément aux politiques de contrôle d'accès applicables. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
| AC-3 | Le système d'information applique les autorisations approuvées pour l'accès logique aux informations et aux ressources du système conformément aux politiques de contrôle d'accès applicables. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| AC-3 | Le système d'information applique les autorisations approuvées pour l'accès logique aux informations et aux ressources du système conformément aux politiques de contrôle d'accès applicables. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| AC-3 | Le système d'information applique les autorisations approuvées pour l'accès logique aux informations et aux ressources du système conformément aux politiques de contrôle d'accès applicables. | AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès, en veillant à ce que les utilisateurs IAM soient membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| AC-3 | Le système d'information applique les autorisations approuvées pour l'accès logique aux informations et aux ressources du système conformément aux politiques de contrôle d'accès applicables. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| AC-3 | Le système d'information applique les autorisations approuvées pour l'accès logique aux informations et aux ressources du système conformément aux politiques de contrôle d'accès applicables. | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt des AWS comptes basés sur les rôles pour intégrer le principe de moindre fonctionnalité. | |
| AC-3 | Le système d'information applique les autorisations approuvées pour l'accès logique aux informations et aux ressources du système conformément aux politiques de contrôle d'accès applicables. | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| AC-3 | Le système d'information applique les autorisations approuvées pour l'accès logique aux informations et aux ressources du système conformément aux politiques de contrôle d'accès applicables. | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| AC-3 | Le système d'information applique les autorisations approuvées pour l'accès logique aux informations et aux ressources du système conformément aux politiques de contrôle d'accès applicables. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur IAM. Placer les utilisateurs IAM dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est un moyen d'intégrer le moindre privilège. | |
| AC-3 | Le système d'information applique les autorisations approuvées pour l'accès logique aux informations et aux ressources du système conformément aux politiques de contrôle d'accès applicables. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| AC-3 | Le système d'information applique les autorisations approuvées pour l'accès logique aux informations et aux ressources du système conformément aux politiques de contrôle d'accès applicables. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
| AC-3 | Le système d'information applique les autorisations approuvées pour l'accès logique aux informations et aux ressources du système conformément aux politiques de contrôle d'accès applicables. | Assurez-vous que la méthode Instance Metadata Service Version 2 (IMDSv2) est activée pour protéger l'accès et le contrôle des métadonnées des instances Amazon Elastic Compute Cloud (Amazon EC2). La IMDSv2 méthode utilise des commandes basées sur les sessions. Avec IMDSv2, des contrôles peuvent être mis en œuvre pour limiter les modifications apportées aux métadonnées de l'instance. | |
| AC-3 | Le système d'information applique les autorisations approuvées pour l'accès logique aux informations et aux ressources du système conformément aux politiques de contrôle d'accès applicables. | EC2 les profils d'instance transmettent un rôle IAM à une EC2 instance. L'association d'un profil d'instance à vos instances peut faciliter la gestion du moindre privilège et des autorisations. | |
| AC-3 | Le système d'information applique les autorisations approuvées pour l'accès logique aux informations et aux ressources du système conformément aux politiques de contrôle d'accès applicables. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
| AC-3 | Le système d'information applique les autorisations approuvées pour l'accès logique aux informations et aux ressources du système conformément aux politiques de contrôle d'accès applicables. | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| AC-3 | Le système d'information applique les autorisations approuvées pour l'accès logique aux informations et aux ressources du système conformément aux politiques de contrôle d'accès applicables. | Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges. | |
| AC-3 | Le système d'information applique les autorisations approuvées pour l'accès logique aux informations et aux ressources du système conformément aux politiques de contrôle d'accès applicables. | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les EC2 instances Amazon peuvent contenir des informations sensibles et un contrôle d'accès est requis pour ces comptes. | |
| AC-3 | Le système d'information applique les autorisations approuvées pour l'accès logique aux informations et aux ressources du système conformément aux politiques de contrôle d'accès applicables. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
| AC-3 | Le système d'information applique les autorisations approuvées pour l'accès logique aux informations et aux ressources du système conformément aux politiques de contrôle d'accès applicables. | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| AC-3 | Le système d'information applique les autorisations approuvées pour l'accès logique aux informations et aux ressources du système conformément aux politiques de contrôle d'accès applicables. | Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC. | |
| AC-3 | Le système d'information applique les autorisations approuvées pour l'accès logique aux informations et aux ressources du système conformément aux politiques de contrôle d'accès applicables. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| AC-3 | Le système d'information applique les autorisations approuvées pour l'accès logique aux informations et aux ressources du système conformément aux politiques de contrôle d'accès applicables. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| AC-3 | Le système d'information applique les autorisations approuvées pour l'accès logique aux informations et aux ressources du système conformément aux politiques de contrôle d'accès applicables. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
| AC-3 | Le système d'information applique les autorisations approuvées pour l'accès logique aux informations et aux ressources du système conformément aux politiques de contrôle d'accès applicables. | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
| AC-3 | Le système d'information applique les autorisations approuvées pour l'accès logique aux informations et aux ressources du système conformément aux politiques de contrôle d'accès applicables. | Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux sur lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale. | |
| AC-3 | Le système d'information applique les autorisations approuvées pour l'accès logique aux informations et aux ressources du système conformément aux politiques de contrôle d'accès applicables. | Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. EC2 les ressources ne doivent pas être accessibles au public, car cela peut permettre un accès involontaire à vos applications ou à vos serveurs. | |
| AC-4 | Le système d'information applique les autorisations approuvées pour contrôler le flux d'informations au sein du système et entre les systèmes interconnectés conformément aux [Attribution : politiques de contrôle du flux d'informations définies par l'organisation]. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
| AC-4 | Le système d'information applique les autorisations approuvées pour contrôler le flux d'informations au sein du système et entre les systèmes interconnectés conformément aux [Attribution : politiques de contrôle du flux d'informations définies par l'organisation]. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| AC-4 | Le système d'information applique les autorisations approuvées pour contrôler le flux d'informations au sein du système et entre les systèmes interconnectés conformément aux [Attribution : politiques de contrôle du flux d'informations définies par l'organisation]. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| AC-4 | Le système d'information applique les autorisations approuvées pour contrôler le flux d'informations au sein du système et entre les systèmes interconnectés conformément aux [Attribution : politiques de contrôle du flux d'informations définies par l'organisation]. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| AC-4 | Le système d'information applique les autorisations approuvées pour contrôler le flux d'informations au sein du système et entre les systèmes interconnectés conformément aux [Attribution : politiques de contrôle du flux d'informations définies par l'organisation]. | Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC. | |
| AC-4 | Le système d'information applique les autorisations approuvées pour contrôler le flux d'informations au sein du système et entre les systèmes interconnectés conformément aux [Attribution : politiques de contrôle du flux d'informations définies par l'organisation]. | Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et d'autres services au sein d'Amazon VPC, sans avoir besoin de passerelle Internet, d'appareil NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez EC2 des instances Amazon à un Amazon VPC pour gérer correctement l'accès. | |
| AC-4 | Le système d'information applique les autorisations approuvées pour contrôler le flux d'informations au sein du système et entre les systèmes interconnectés conformément aux [Attribution : politiques de contrôle du flux d'informations définies par l'organisation]. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont limités sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| AC-4 | Le système d'information applique les autorisations approuvées pour contrôler le flux d'informations au sein du système et entre les systèmes interconnectés conformément aux [Attribution : politiques de contrôle du flux d'informations définies par l'organisation]. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
| AC-4 | Le système d'information applique les autorisations approuvées pour contrôler le flux d'informations au sein du système et entre les systèmes interconnectés conformément aux [Attribution : politiques de contrôle du flux d'informations définies par l'organisation]. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| AC-4 | Le système d'information applique les autorisations approuvées pour contrôler le flux d'informations au sein du système et entre les systèmes interconnectés conformément aux [Attribution : politiques de contrôle du flux d'informations définies par l'organisation]. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
| AC-4 | Le système d'information applique les autorisations approuvées pour contrôler le flux d'informations au sein du système et entre les systèmes interconnectés conformément aux [Attribution : politiques de contrôle du flux d'informations définies par l'organisation]. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
| AC-4 | Le système d'information applique les autorisations approuvées pour contrôler le flux d'informations au sein du système et entre les systèmes interconnectés conformément aux [Attribution : politiques de contrôle du flux d'informations définies par l'organisation]. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
| AC-4 | Le système d'information applique les autorisations approuvées pour contrôler le flux d'informations au sein du système et entre les systèmes interconnectés conformément aux [Attribution : politiques de contrôle du flux d'informations définies par l'organisation]. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| AC-4 | Le système d'information applique les autorisations approuvées pour contrôler le flux d'informations au sein du système et entre les systèmes interconnectés conformément aux [Attribution : politiques de contrôle du flux d'informations définies par l'organisation]. | Assurez-vous que l'intégrité du réseau est protégée en vous assurant que les certificats X509 sont émis par AWS ACM. Ces certificats doivent être valides et non expirés. Cette règle nécessite une valeur pour daysToExpiration (valeur des meilleures pratiques de sécuritéAWS fondamentales : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| AC-4 | Le système d'information applique les autorisations approuvées pour contrôler le flux d'informations au sein du système et entre les systèmes interconnectés conformément aux [Attribution : politiques de contrôle du flux d'informations définies par l'organisation]. | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les EC2 instances Amazon peuvent contenir des informations sensibles et un contrôle d'accès est requis pour ces comptes. | |
| AC-4 | Le système d'information applique les autorisations approuvées pour contrôler le flux d'informations au sein du système et entre les systèmes interconnectés conformément aux [Attribution : politiques de contrôle du flux d'informations définies par l'organisation]. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
| AC-4 | Le système d'information applique les autorisations approuvées pour contrôler le flux d'informations au sein du système et entre les systèmes interconnectés conformément aux [Attribution : politiques de contrôle du flux d'informations définies par l'organisation]. | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| AC-4 | Le système d'information applique les autorisations approuvées pour contrôler le flux d'informations au sein du système et entre les systèmes interconnectés conformément aux [Attribution : politiques de contrôle du flux d'informations définies par l'organisation]. | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| AC-4 | Le système d'information applique les autorisations approuvées pour contrôler le flux d'informations au sein du système et entre les systèmes interconnectés conformément aux [Attribution : politiques de contrôle du flux d'informations définies par l'organisation]. | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| AC-5c | L'organisation : c. Définit les autorisations d'accès au système d'information pour faciliter la séparation des tâches. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur IAM. Placer les utilisateurs IAM dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est un moyen d'intégrer le moindre privilège. | |
| AC-5c | L'organisation : c. Définit les autorisations d'accès au système d'information pour faciliter la séparation des tâches. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| AC-5c | L'organisation : c. Définit les autorisations d'accès au système d'information pour faciliter la séparation des tâches. | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
| AC-5c | L'organisation : c. Définit les autorisations d'accès au système d'information pour faciliter la séparation des tâches. | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| AC-5c | L'organisation : c. Définit les autorisations d'accès au système d'information pour faciliter la séparation des tâches. | Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges. | |
| AC-5c | L'organisation : c. Définit les autorisations d'accès au système d'information pour faciliter la séparation des tâches. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : kms: Déchiffrer, kms:ReEncryptFrom). Les valeurs réelles doivent refléter les politiques de votre organisation | |
| AC-5c | L'organisation : c. Définit les autorisations d'accès au système d'information pour faciliter la séparation des tâches. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : kms: Déchiffrer, kms:ReEncryptFrom). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| AC-5c | L'organisation : c. Définit les autorisations d'accès au système d'information pour faciliter la séparation des tâches. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
| AC-5c | L'organisation : c. Définit les autorisations d'accès au système d'information pour faciliter la séparation des tâches. | Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| AC-5c | L'organisation : c. Définit les autorisations d'accès au système d'information pour faciliter la séparation des tâches. | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt des AWS comptes basés sur les rôles pour intégrer le principe de moindre fonctionnalité. | |
| AC-5c | L'organisation : c. Définit les autorisations d'accès au système d'information pour faciliter la séparation des tâches. | AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès, en veillant à ce que les utilisateurs IAM soient membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| AC-5c | L'organisation : c. Définit les autorisations d'accès au système d'information pour faciliter la séparation des tâches. | AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| AC-6 | L'organisation applique le principe du moindre privilège, en n'accordant aux utilisateurs (ou aux processus agissant pour leur compte) que les accès autorisés nécessaires à l'accomplissement des tâches qui leur sont confiées, conformément aux missions de l'organisation et aux fonctions métier. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| AC-6 | L'organisation applique le principe du moindre privilège, en n'accordant aux utilisateurs (ou aux processus agissant pour leur compte) que les accès autorisés nécessaires à l'accomplissement des tâches qui leur sont confiées, conformément aux missions de l'organisation et aux fonctions métier. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| AC-6 | L'organisation applique le principe du moindre privilège, en n'accordant aux utilisateurs (ou aux processus agissant pour leur compte) que les accès autorisés nécessaires à l'accomplissement des tâches qui leur sont confiées, conformément aux missions de l'organisation et aux fonctions métier. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| AC-6 | L'organisation applique le principe du moindre privilège, en n'accordant aux utilisateurs (ou aux processus agissant pour leur compte) que les accès autorisés nécessaires à l'accomplissement des tâches qui leur sont confiées, conformément aux missions de l'organisation et aux fonctions métier. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| AC-6 | L'organisation applique le principe du moindre privilège, en n'accordant aux utilisateurs (ou aux processus agissant pour leur compte) que les accès autorisés nécessaires à l'accomplissement des tâches qui leur sont confiées, conformément aux missions de l'organisation et aux fonctions métier. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
| AC-6 | L'organisation applique le principe du moindre privilège, en n'accordant aux utilisateurs (ou aux processus agissant pour leur compte) que les accès autorisés nécessaires à l'accomplissement des tâches qui leur sont confiées, conformément aux missions de l'organisation et aux fonctions métier. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
| AC-6 | L'organisation applique le principe du moindre privilège, en n'accordant aux utilisateurs (ou aux processus agissant pour leur compte) que les accès autorisés nécessaires à l'accomplissement des tâches qui leur sont confiées, conformément aux missions de l'organisation et aux fonctions métier. | Assurez-vous que les informations AWS_ACCESS_KEY_ID d'authentification n' AWS_SECRET_ACCESS_KEY existent pas dans les environnements de projet AWS Codebuild. Ne stockez pas ces variables en clair. Le stockage de ces variables en clair entraîne une exposition involontaire des données et un accès non autorisé. | |
| AC-6 | L'organisation applique le principe du moindre privilège, en n'accordant aux utilisateurs (ou aux processus agissant pour leur compte) que les accès autorisés nécessaires à l'accomplissement des tâches qui leur sont confiées, conformément aux missions de l'organisation et aux fonctions métier. | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| AC-6 | L'organisation applique le principe du moindre privilège, en n'accordant aux utilisateurs (ou aux processus agissant pour leur compte) que les accès autorisés nécessaires à l'accomplissement des tâches qui leur sont confiées, conformément aux missions de l'organisation et aux fonctions métier. | AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| AC-6 | L'organisation applique le principe du moindre privilège, en n'accordant aux utilisateurs (ou aux processus agissant pour leur compte) que les accès autorisés nécessaires à l'accomplissement des tâches qui leur sont confiées, conformément aux missions de l'organisation et aux fonctions métier. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur IAM. Placer les utilisateurs IAM dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est un moyen d'intégrer le moindre privilège. | |
| AC-6 | L'organisation applique le principe du moindre privilège, en n'accordant aux utilisateurs (ou aux processus agissant pour leur compte) que les accès autorisés nécessaires à l'accomplissement des tâches qui leur sont confiées, conformément aux missions de l'organisation et aux fonctions métier. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| AC-6 | L'organisation applique le principe du moindre privilège, en n'accordant aux utilisateurs (ou aux processus agissant pour leur compte) que les accès autorisés nécessaires à l'accomplissement des tâches qui leur sont confiées, conformément aux missions de l'organisation et aux fonctions métier. | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt des AWS comptes basés sur les rôles pour intégrer le principe de moindre fonctionnalité. | |
| AC-6 | L'organisation applique le principe du moindre privilège, en n'accordant aux utilisateurs (ou aux processus agissant pour leur compte) que les accès autorisés nécessaires à l'accomplissement des tâches qui leur sont confiées, conformément aux missions de l'organisation et aux fonctions métier. | AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès, en veillant à ce que les utilisateurs IAM soient membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| AC-6 | L'organisation applique le principe du moindre privilège, en n'accordant aux utilisateurs (ou aux processus agissant pour leur compte) que les accès autorisés nécessaires à l'accomplissement des tâches qui leur sont confiées, conformément aux missions de l'organisation et aux fonctions métier. | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
| AC-6 | L'organisation applique le principe du moindre privilège, en n'accordant aux utilisateurs (ou aux processus agissant pour leur compte) que les accès autorisés nécessaires à l'accomplissement des tâches qui leur sont confiées, conformément aux missions de l'organisation et aux fonctions métier. | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| AC-6 | L'organisation applique le principe du moindre privilège, en n'accordant aux utilisateurs (ou aux processus agissant pour leur compte) que les accès autorisés nécessaires à l'accomplissement des tâches qui leur sont confiées, conformément aux missions de l'organisation et aux fonctions métier. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| AC-6 | L'organisation applique le principe du moindre privilège, en n'accordant aux utilisateurs (ou aux processus agissant pour leur compte) que les accès autorisés nécessaires à l'accomplissement des tâches qui leur sont confiées, conformément aux missions de l'organisation et aux fonctions métier. | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les EC2 instances Amazon peuvent contenir des informations sensibles et un contrôle d'accès est requis pour ces comptes. | |
| AC-6 | L'organisation applique le principe du moindre privilège, en n'accordant aux utilisateurs (ou aux processus agissant pour leur compte) que les accès autorisés nécessaires à l'accomplissement des tâches qui leur sont confiées, conformément aux missions de l'organisation et aux fonctions métier. | Assurez-vous que la méthode Instance Metadata Service Version 2 (IMDSv2) est activée pour protéger l'accès et le contrôle des métadonnées des instances Amazon Elastic Compute Cloud (Amazon EC2). La IMDSv2 méthode utilise des commandes basées sur les sessions. Avec IMDSv2, des contrôles peuvent être mis en œuvre pour limiter les modifications apportées aux métadonnées de l'instance. | |
| AC-6 | L'organisation applique le principe du moindre privilège, en n'accordant aux utilisateurs (ou aux processus agissant pour leur compte) que les accès autorisés nécessaires à l'accomplissement des tâches qui leur sont confiées, conformément aux missions de l'organisation et aux fonctions métier. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
| AC-6 | L'organisation applique le principe du moindre privilège, en n'accordant aux utilisateurs (ou aux processus agissant pour leur compte) que les accès autorisés nécessaires à l'accomplissement des tâches qui leur sont confiées, conformément aux missions de l'organisation et aux fonctions métier. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
| AC-6 | L'organisation applique le principe du moindre privilège, en n'accordant aux utilisateurs (ou aux processus agissant pour leur compte) que les accès autorisés nécessaires à l'accomplissement des tâches qui leur sont confiées, conformément aux missions de l'organisation et aux fonctions métier. | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| AC-6 | L'organisation applique le principe du moindre privilège, en n'accordant aux utilisateurs (ou aux processus agissant pour leur compte) que les accès autorisés nécessaires à l'accomplissement des tâches qui leur sont confiées, conformément aux missions de l'organisation et aux fonctions métier. | Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et d'autres services au sein d'Amazon VPC, sans avoir besoin de passerelle Internet, d'appareil NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez EC2 des instances Amazon à un Amazon VPC pour gérer correctement l'accès. | |
| AC-6 | L'organisation applique le principe du moindre privilège, en n'accordant aux utilisateurs (ou aux processus agissant pour leur compte) que les accès autorisés nécessaires à l'accomplissement des tâches qui leur sont confiées, conformément aux missions de l'organisation et aux fonctions métier. | Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC. | |
| AC-6 | L'organisation applique le principe du moindre privilège, en n'accordant aux utilisateurs (ou aux processus agissant pour leur compte) que les accès autorisés nécessaires à l'accomplissement des tâches qui leur sont confiées, conformément aux missions de l'organisation et aux fonctions métier. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| AC-6 | L'organisation applique le principe du moindre privilège, en n'accordant aux utilisateurs (ou aux processus agissant pour leur compte) que les accès autorisés nécessaires à l'accomplissement des tâches qui leur sont confiées, conformément aux missions de l'organisation et aux fonctions métier. | Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux sur lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale. | |
| AC-6 | L'organisation applique le principe du moindre privilège, en n'accordant aux utilisateurs (ou aux processus agissant pour leur compte) que les accès autorisés nécessaires à l'accomplissement des tâches qui leur sont confiées, conformément aux missions de l'organisation et aux fonctions métier. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
| AC-6 (2) | Le système d'information nécessite l'utilisation de comptes non privilégiés pour accéder à des fonctions non liées à la sécurité, limite les risques lorsqu'il opère à partir de comptes ou de rôles privilégiés. | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| AC-6 (2) | Le système d'information nécessite l'utilisation de comptes non privilégiés pour accéder à des fonctions non liées à la sécurité, limite les risques lorsqu'il opère à partir de comptes ou de rôles privilégiés. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| AC-6 (2) | Le système d'information nécessite l'utilisation de comptes non privilégiés pour accéder à des fonctions non liées à la sécurité, limite les risques lorsqu'il opère à partir de comptes ou de rôles privilégiés. | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt des AWS comptes basés sur les rôles pour intégrer le principe de moindre fonctionnalité. | |
| AC-6 (9) | Le système d'information enregistre l'exécution des fonctions privilégiées. | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API dans votre AWS compte. | |
| AC-6 (9) | Le système d'information enregistre l'exécution des fonctions privilégiées. | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les AWS comptes qui ont appelé un AWS service, l'adresse IP source à partir de laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
| AC-6 (9) | Le système d'information enregistre l'exécution des fonctions privilégiées. | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
| AC-6 (9) | Le système d'information enregistre l'exécution des fonctions privilégiées. | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| AC-6 (9) | Le système d'information enregistre l'exécution des fonctions privilégiées. | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du AWS compte qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
| AC-6 (9) | Le système d'information enregistre l'exécution des fonctions privilégiées. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
| AC-6 (9) | Le système d'information enregistre l'exécution des fonctions privilégiées. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| AC-6 (9) | Le système d'information enregistre l'exécution des fonctions privilégiées. | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
| AC-6(10) | Le système d'information empêche les utilisateurs non privilégiés d'exécuter des fonctions privilégiées, notamment de désactiver, de contourner ou de modifier les mesures/contre-mesures de sécurité mises en œuvre. | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt des AWS comptes basés sur les rôles pour intégrer le principe de moindre fonctionnalité. | |
| AC-6(10) | Le système d'information empêche les utilisateurs non privilégiés d'exécuter des fonctions privilégiées, notamment de désactiver, de contourner ou de modifier les mesures/contre-mesures de sécurité mises en œuvre. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| AC-6(10) | Le système d'information empêche les utilisateurs non privilégiés d'exécuter des fonctions privilégiées, notamment de désactiver, de contourner ou de modifier les mesures/contre-mesures de sécurité mises en œuvre. | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| AU-11 | L'organisation conserve les dossiers d'audit pendant au moins 90 jours afin de soutenir les after-the-fact enquêtes sur les incidents de sécurité et de répondre aux exigences réglementaires et organisationnelles en matière de conservation des informations. | Assurez-vous que la durée minimale de conservation des données des journaux d'événements pour vos groupes de journaux est suffisante pour faciliter le dépannage et les enquêtes judiciaires. Le manque de données disponibles dans les journaux d'événements passés complique la reconstitution et l'identification des événements potentiellement malveillants. | |
| AU-12(a)(c) | Le système d'information : a. Permet de générer des enregistrements d'audit pour les événements vérifiables définis dans AU-2 a. sur tous les composants du système d'information et du réseau où la capacité d'audit est déployée/disponible c. Génère des enregistrements d'audit pour les événements définis dans AU-2 d. avec le contenu défini dans AU-3. | La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs. | |
| AU-12(a)(c) | Le système d'information : a. Permet de générer des enregistrements d'audit pour les événements vérifiables définis dans AU-2 a. sur tous les composants du système d'information et du réseau où la capacité d'audit est déployée/disponible c. Génère des enregistrements d'audit pour les événements définis dans AU-2 d. avec le contenu défini dans AU-3. | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API dans votre AWS compte. | |
| AU-12(a)(c) | Le système d'information : a. Permet de générer des enregistrements d'audit pour les événements vérifiables définis dans AU-2 a. sur tous les composants du système d'information et du réseau où la capacité d'audit est déployée/disponible c. Génère des enregistrements d'audit pour les événements définis dans AU-2 d. avec le contenu défini dans AU-3. | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du AWS compte qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
| AU-12(a)(c) | Le système d'information : a. Permet de générer des enregistrements d'audit pour les événements vérifiables définis dans AU-2 a. sur tous les composants du système d'information et du réseau où la capacité d'audit est déployée/disponible c. Génère des enregistrements d'audit pour les événements définis dans AU-2 d. avec le contenu défini dans AU-3. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
| AU-12(a)(c) | Le système d'information : a. Permet de générer des enregistrements d'audit pour les événements vérifiables définis dans AU-2 a. sur tous les composants du système d'information et du réseau où la capacité d'audit est déployée/disponible c. Génère des enregistrements d'audit pour les événements définis dans AU-2 d. avec le contenu défini dans AU-3. | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les AWS comptes qui ont appelé un AWS service, l'adresse IP source à partir de laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
| AU-12(a)(c) | Le système d'information : a. Permet de générer des enregistrements d'audit pour les événements vérifiables définis dans AU-2 a. sur tous les composants du système d'information et du réseau où la capacité d'audit est déployée/disponible c. Génère des enregistrements d'audit pour les événements définis dans AU-2 d. avec le contenu défini dans AU-3. | L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. | |
| AU-12(a)(c) | Le système d'information : a. Permet de générer des enregistrements d'audit pour les événements vérifiables définis dans AU-2 a. sur tous les composants du système d'information et du réseau où la capacité d'audit est déployée/disponible c. Génère des enregistrements d'audit pour les événements définis dans AU-2 d. avec le contenu défini dans AU-3. | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
| AU-12(a)(c) | Le système d'information : a. Permet de générer des enregistrements d'audit pour les événements vérifiables définis dans AU-2 a. sur tous les composants du système d'information et du réseau où la capacité d'audit est déployée/disponible c. Génère des enregistrements d'audit pour les événements définis dans AU-2 d. avec le contenu défini dans AU-3. | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
| AU-12(a)(c) | Le système d'information : a. Permet de générer des enregistrements d'audit pour les événements vérifiables définis dans AU-2 a. sur tous les composants du système d'information et du réseau où la capacité d'audit est déployée/disponible c. Génère des enregistrements d'audit pour les événements définis dans AU-2 d. avec le contenu défini dans AU-3. | Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole. | |
| AU-12 (a) (c) | Le système d'information : a. Permet de générer des enregistrements d'audit pour les événements vérifiables définis dans AU-2 a. sur tous les composants du système d'information et du réseau où la capacité d'audit est déployée/disponible c. Génère des enregistrements d'audit pour les événements définis dans AU-2 d. avec le contenu défini dans AU-3. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur le Web ACLs régional et mondial. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait. | |
| AU-12(a)(c) | Le système d'information : a. Permet de générer des enregistrements d'audit pour les événements vérifiables définis dans AU-2 a. sur tous les composants du système d'information et du réseau où la capacité d'audit est déployée/disponible c. Génère des enregistrements d'audit pour les événements définis dans AU-2 d. avec le contenu défini dans AU-3. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| AU-2(a)(d) | L'organisation : a. Détermine que le système d'information est capable d'auditer les événements suivants : événements de réussite et d'échec d'ouverture de compte, événements de gestion de compte, accès aux objets, modification des politiques, fonctions privilégiées, suivi des processus et événements système. Pour les applications Web : l'ensemble des activités de l'administrateur, des contrôles d'authentification, des contrôles d'autorisation, des suppressions de données, des accès aux données, des modifications de données et des modifications d'autorisations. d. Détermine que les événements suivants doivent être audités dans le système d'information : [sous-ensemble des événements vérifiables définis dans AU-2 a défini par l'organisation devant être constamment audité pour chaque événement identifié]. | La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs. | |
| AU-2(a)(d) | L'organisation : a. Détermine que le système d'information est capable d'auditer les événements suivants : événements de réussite et d'échec d'ouverture de compte, événements de gestion de compte, accès aux objets, modification des politiques, fonctions privilégiées, suivi des processus et événements système. Pour les applications Web : l'ensemble des activités de l'administrateur, des contrôles d'authentification, des contrôles d'autorisation, des suppressions de données, des accès aux données, des modifications de données et des modifications d'autorisations. d. Détermine que les événements suivants doivent être audités dans le système d'information : [sous-ensemble des événements vérifiables définis dans AU-2 a défini par l'organisation devant être constamment audité pour chaque événement identifié]. | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des informations détaillées sur l'activité des appels d'API au sein de votre AWS compte. | |
| AU-2(a)(d) | L'organisation : a. Détermine que le système d'information est capable d'auditer les événements suivants : événements de réussite et d'échec d'ouverture de compte, événements de gestion de compte, accès aux objets, modification des politiques, fonctions privilégiées, suivi des processus et événements système. Pour les applications Web : l'ensemble des activités de l'administrateur, des contrôles d'authentification, des contrôles d'autorisation, des suppressions de données, des accès aux données, des modifications de données et des modifications d'autorisations. d. Détermine que les événements suivants doivent être audités dans le système d'information : [sous-ensemble des événements vérifiables définis dans AU-2 a défini par l'organisation devant être constamment audité pour chaque événement identifié]. | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du AWS compte qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
| AU-2(a)(d) | L'organisation : a. Détermine que le système d'information est capable d'auditer les événements suivants : événements de réussite et d'échec d'ouverture de compte, événements de gestion de compte, accès aux objets, modification des politiques, fonctions privilégiées, suivi des processus et événements système. Pour les applications Web : l'ensemble des activités de l'administrateur, des contrôles d'authentification, des contrôles d'autorisation, des suppressions de données, des accès aux données, des modifications de données et des modifications d'autorisations. d. Détermine que les événements suivants doivent être audités dans le système d'information : [sous-ensemble des événements vérifiables définis dans AU-2 a défini par l'organisation devant être constamment audité pour chaque événement identifié]. | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les AWS comptes qui ont appelé un AWS service, l'adresse IP source à partir de laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
| AU-2(a)(d) | L'organisation : a. Détermine que le système d'information est capable d'auditer les événements suivants : événements de réussite et d'échec d'ouverture de compte, événements de gestion de compte, accès aux objets, modification des politiques, fonctions privilégiées, suivi des processus et événements système. Pour les applications Web : l'ensemble des activités de l'administrateur, des contrôles d'authentification, des contrôles d'autorisation, des suppressions de données, des accès aux données, des modifications de données et des modifications d'autorisations. d. Détermine que les événements suivants doivent être audités dans le système d'information : [sous-ensemble des événements vérifiables définis dans AU-2 a défini par l'organisation devant être constamment audité pour chaque événement identifié]. | L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. | |
| AU-2(a)(d) | L'organisation : a. Détermine que le système d'information est capable d'auditer les événements suivants : événements de réussite et d'échec d'ouverture de compte, événements de gestion de compte, accès aux objets, modification des politiques, fonctions privilégiées, suivi des processus et événements système. Pour les applications Web : l'ensemble des activités de l'administrateur, des contrôles d'authentification, des contrôles d'autorisation, des suppressions de données, des accès aux données, des modifications de données et des modifications d'autorisations. d. Détermine que les événements suivants doivent être audités dans le système d'information : [sous-ensemble des événements vérifiables définis dans AU-2 a défini par l'organisation devant être constamment audité pour chaque événement identifié]. | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
| AU-2(a)(d) | L'organisation : a. Détermine que le système d'information est capable d'auditer les événements suivants : événements de réussite et d'échec d'ouverture de compte, événements de gestion de compte, accès aux objets, modification des politiques, fonctions privilégiées, suivi des processus et événements système. Pour les applications Web : l'ensemble des activités de l'administrateur, des contrôles d'authentification, des contrôles d'autorisation, des suppressions de données, des accès aux données, des modifications de données et des modifications d'autorisations. d. Détermine que les événements suivants doivent être audités dans le système d'information : [sous-ensemble des événements vérifiables définis dans AU-2 a défini par l'organisation devant être constamment audité pour chaque événement identifié]. | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
| AU-2(a)(d) | L'organisation : a. Détermine que le système d'information est capable d'auditer les événements suivants : événements de réussite et d'échec d'ouverture de compte, événements de gestion de compte, accès aux objets, modification des politiques, fonctions privilégiées, suivi des processus et événements système. Pour les applications Web : l'ensemble des activités de l'administrateur, des contrôles d'authentification, des contrôles d'autorisation, des suppressions de données, des accès aux données, des modifications de données et des modifications d'autorisations. d. Détermine que les événements suivants doivent être audités dans le système d'information : [sous-ensemble des événements vérifiables définis dans AU-2 a défini par l'organisation devant être constamment audité pour chaque événement identifié]. | Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole. | |
| AU-2 (a) (d) | L'organisation : a. Détermine que le système d'information est capable d'auditer les événements suivants : événements de réussite et d'échec d'ouverture de compte, événements de gestion de compte, accès aux objets, modification des politiques, fonctions privilégiées, suivi des processus et événements système. Pour les applications Web : l'ensemble des activités de l'administrateur, des contrôles d'authentification, des contrôles d'autorisation, des suppressions de données, des accès aux données, des modifications de données et des modifications d'autorisations. d. Détermine que les événements suivants doivent être audités dans le système d'information : [sous-ensemble des événements vérifiables définis dans AU-2 a défini par l'organisation devant être constamment audité pour chaque événement identifié]. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
| AU-2(a)(d) | L'organisation : a. Détermine que le système d'information est capable d'auditer les événements suivants : événements de réussite et d'échec d'ouverture de compte, événements de gestion de compte, accès aux objets, modification des politiques, fonctions privilégiées, suivi des processus et événements système. Pour les applications Web : l'ensemble des activités de l'administrateur, des contrôles d'authentification, des contrôles d'autorisation, des suppressions de données, des accès aux données, des modifications de données et des modifications d'autorisations. d. Détermine que les événements suivants doivent être audités dans le système d'information : [sous-ensemble des événements vérifiables définis dans AU-2 a défini par l'organisation devant être constamment audité pour chaque événement identifié]. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur le Web ACLs régional et mondial. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait. | |
| AU-2(a)(d) | L'organisation : a. Détermine que le système d'information est capable d'auditer les événements suivants : événements de réussite et d'échec d'ouverture de compte, événements de gestion de compte, accès aux objets, modification des politiques, fonctions privilégiées, suivi des processus et événements système. Pour les applications Web : l'ensemble des activités de l'administrateur, des contrôles d'authentification, des contrôles d'autorisation, des suppressions de données, des accès aux données, des modifications de données et des modifications d'autorisations. d. Détermine que les événements suivants doivent être audités dans le système d'information : [sous-ensemble des événements vérifiables définis dans AU-2 a défini par l'organisation devant être constamment audité pour chaque événement identifié]. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| AU-3 | Le système d'information génère des enregistrements d'audit contenant des informations qui établissent quel type d'événement s'est produit, quand l'événement s'est produit, où l'événement s'est produit, la source de l'événement, le résultat de l'événement et l'identité de toute personne ou sujet associé à l'événement. | La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs. | |
| AU-3 | Le système d'information génère des enregistrements d'audit contenant des informations qui établissent quel type d'événement s'est produit, quand l'événement s'est produit, où l'événement s'est produit, la source de l'événement, le résultat de l'événement et l'identité de toute personne ou sujet associé à l'événement. | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des informations détaillées sur l'activité des appels d'API au sein de votre AWS compte. | |
| AU-3 | Le système d'information génère des enregistrements d'audit contenant des informations qui établissent quel type d'événement s'est produit, quand l'événement s'est produit, où l'événement s'est produit, la source de l'événement, le résultat de l'événement et l'identité de toute personne ou sujet associé à l'événement. | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du AWS compte qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
| AU-3 | Le système d'information génère des enregistrements d'audit contenant des informations qui établissent quel type d'événement s'est produit, quand l'événement s'est produit, où l'événement s'est produit, la source de l'événement, le résultat de l'événement et l'identité de toute personne ou sujet associé à l'événement. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
| AU-3 | Le système d'information génère des enregistrements d'audit contenant des informations qui établissent quel type d'événement s'est produit, quand l'événement s'est produit, où l'événement s'est produit, la source de l'événement, le résultat de l'événement et l'identité de toute personne ou sujet associé à l'événement. | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les AWS comptes qui ont appelé un AWS service, l'adresse IP source à partir de laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
| AU-3 | Le système d'information génère des enregistrements d'audit contenant des informations qui établissent quel type d'événement s'est produit, quand l'événement s'est produit, où l'événement s'est produit, la source de l'événement, le résultat de l'événement et l'identité de toute personne ou sujet associé à l'événement. | L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. | |
| AU-3 | Le système d'information génère des enregistrements d'audit contenant des informations qui établissent quel type d'événement s'est produit, quand l'événement s'est produit, où l'événement s'est produit, la source de l'événement, le résultat de l'événement et l'identité de toute personne ou sujet associé à l'événement. | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
| AU-3 | Le système d'information génère des enregistrements d'audit contenant des informations qui établissent quel type d'événement s'est produit, quand l'événement s'est produit, où l'événement s'est produit, la source de l'événement, le résultat de l'événement et l'identité de toute personne ou sujet associé à l'événement. | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
| AU-3 | Le système d'information génère des enregistrements d'audit contenant des informations qui établissent quel type d'événement s'est produit, quand l'événement s'est produit, où l'événement s'est produit, la source de l'événement, le résultat de l'événement et l'identité de toute personne ou sujet associé à l'événement. | Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole. | |
| AU-3 | Le système d'information génère des enregistrements d'audit contenant des informations qui établissent quel type d'événement s'est produit, quand l'événement s'est produit, où l'événement s'est produit, la source de l'événement, le résultat de l'événement et l'identité de toute personne ou sujet associé à l'événement. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| AU-3 | Le système d'information génère des enregistrements d'audit contenant des informations qui établissent quel type d'événement s'est produit, quand l'événement s'est produit, où l'événement s'est produit, la source de l'événement, le résultat de l'événement et l'identité de toute personne ou sujet associé à l'événement. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur le Web ACLs régional et mondial. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait. | |
| AU-6(1)(3) | (1) L'organisation utilise des mécanismes automatisés pour intégrer les processus d'audit, d'analyse et de génération de rapports afin de faciliter les processus organisationnels d'enquête et de réponse aux activités suspectes. (3) L'organisation analyse et met en corrélation les enregistrements d'audit de différents répertoires afin d'obtenir une meilleure visibilité de la situation à l'échelle de l'organisation. | Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement. | |
| AU-6(1)(3) | (1) L'organisation utilise des mécanismes automatisés pour intégrer les processus d'audit, d'analyse et de génération de rapports afin de faciliter les processus organisationnels d'enquête et de réponse aux activités suspectes. (3) L'organisation analyse et met en corrélation les enregistrements d'audit de différents répertoires afin d'obtenir une meilleure visibilité de la situation à l'échelle de l'organisation. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| AU-6(1)(3) | (1) L'organisation utilise des mécanismes automatisés pour intégrer les processus d'audit, d'analyse et de génération de rapports afin de faciliter les processus organisationnels d'enquête et de réponse aux activités suspectes. (3) L'organisation analyse et met en corrélation les enregistrements d'audit de différents répertoires afin d'obtenir une meilleure visibilité de la situation à l'échelle de l'organisation. | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des informations détaillées sur l'activité des appels d'API au sein de votre AWS compte. | |
| AU-6(1)(3) | (1) L'organisation utilise des mécanismes automatisés pour intégrer les processus d'audit, d'analyse et de génération de rapports afin de faciliter les processus organisationnels d'enquête et de réponse aux activités suspectes. (3) L'organisation analyse et met en corrélation les enregistrements d'audit de différents répertoires afin d'obtenir une meilleure visibilité de la situation à l'échelle de l'organisation. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| AU-6(1)(3) | (1) L'organisation utilise des mécanismes automatisés pour intégrer les processus d'audit, d'analyse et de génération de rapports afin de faciliter les processus organisationnels d'enquête et de réponse aux activités suspectes. (3) L'organisation analyse et met en corrélation les enregistrements d'audit de différents répertoires afin d'obtenir une meilleure visibilité de la situation à l'échelle de l'organisation. | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du AWS compte qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
| AU-6(1)(3) | (1) L'organisation utilise des mécanismes automatisés pour intégrer les processus d'audit, d'analyse et de génération de rapports afin de faciliter les processus organisationnels d'enquête et de réponse aux activités suspectes. (3) L'organisation analyse et met en corrélation les enregistrements d'audit de différents répertoires afin d'obtenir une meilleure visibilité de la situation à l'échelle de l'organisation. | La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs. | |
| AU-6(1)(3) | (1) L'organisation utilise des mécanismes automatisés pour intégrer les processus d'audit, d'analyse et de génération de rapports afin de faciliter les processus organisationnels d'enquête et de réponse aux activités suspectes. (3) L'organisation analyse et met en corrélation les enregistrements d'audit de différents répertoires afin d'obtenir une meilleure visibilité de la situation à l'échelle de l'organisation. | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
| AU-6(1)(3) | (1) L'organisation utilise des mécanismes automatisés pour intégrer les processus d'audit, d'analyse et de génération de rapports afin de faciliter les processus organisationnels d'enquête et de réponse aux activités suspectes. (3) L'organisation analyse et met en corrélation les enregistrements d'audit de différents répertoires afin d'obtenir une meilleure visibilité de la situation à l'échelle de l'organisation. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
| AU-6(1)(3) | (1) L'organisation utilise des mécanismes automatisés pour intégrer les processus d'audit, d'analyse et de génération de rapports afin de faciliter les processus organisationnels d'enquête et de réponse aux activités suspectes. (3) L'organisation analyse et met en corrélation les enregistrements d'audit de différents répertoires afin d'obtenir une meilleure visibilité de la situation à l'échelle de l'organisation. | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les AWS comptes qui ont appelé un AWS service, l'adresse IP source à partir de laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
| AU-6(1)(3) | (1) L'organisation utilise des mécanismes automatisés pour intégrer les processus d'audit, d'analyse et de génération de rapports afin de faciliter les processus organisationnels d'enquête et de réponse aux activités suspectes. (3) L'organisation analyse et met en corrélation les enregistrements d'audit de différents répertoires afin d'obtenir une meilleure visibilité de la situation à l'échelle de l'organisation. | Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole. | |
| AU-6(1)(3) | (1) L'organisation utilise des mécanismes automatisés pour intégrer les processus d'audit, d'analyse et de génération de rapports afin de faciliter les processus organisationnels d'enquête et de réponse aux activités suspectes. (3) L'organisation analyse et met en corrélation les enregistrements d'audit de différents répertoires afin d'obtenir une meilleure visibilité de la situation à l'échelle de l'organisation. | L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. | |
| AU-6(1)(3) | (1) L'organisation utilise des mécanismes automatisés pour intégrer les processus d'audit, d'analyse et de génération de rapports afin de faciliter les processus organisationnels d'enquête et de réponse aux activités suspectes. (3) L'organisation analyse et met en corrélation les enregistrements d'audit de différents répertoires afin d'obtenir une meilleure visibilité de la situation à l'échelle de l'organisation. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| AU-6(1)(3) | (1) L'organisation utilise des mécanismes automatisés pour intégrer les processus d'audit, d'analyse et de génération de rapports afin de faciliter les processus organisationnels d'enquête et de réponse aux activités suspectes. (3) L'organisation analyse et met en corrélation les enregistrements d'audit de différents répertoires afin d'obtenir une meilleure visibilité de la situation à l'échelle de l'organisation. | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
| AU-6(1)(3) | (1) L'organisation utilise des mécanismes automatisés pour intégrer les processus d'audit, d'analyse et de génération de rapports afin de faciliter les processus organisationnels d'enquête et de réponse aux activités suspectes. (3) L'organisation analyse et met en corrélation les enregistrements d'audit de différents répertoires afin d'obtenir une meilleure visibilité de la situation à l'échelle de l'organisation. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur le Web ACLs régional et mondial. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait. | |
| AU-6(1)(3) | (1) L'organisation utilise des mécanismes automatisés pour intégrer les processus d'audit, d'analyse et de génération de rapports afin de faciliter les processus organisationnels d'enquête et de réponse aux activités suspectes. (3) L'organisation analyse et met en corrélation les enregistrements d'audit de différents répertoires afin d'obtenir une meilleure visibilité de la situation à l'échelle de l'organisation. | Assurez-vous que la durée minimale de conservation des données des journaux d'événements pour vos groupes de journaux est suffisante pour faciliter le dépannage et les enquêtes judiciaires. Le manque de données disponibles dans les journaux d'événements passés complique la reconstitution et l'identification des événements potentiellement malveillants. | |
| AU-6 (3) | L'organisation analyse et met en corrélation les enregistrements d'audit de différents référentiels afin d'acquérir une connaissance de la situation à l'échelle de l'organisation. | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| AU-6 (3) | L'organisation analyse et met en corrélation les enregistrements d'audit de différents référentiels afin d'acquérir une connaissance de la situation à l'échelle de l'organisation. | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
| AU-6 (3) | L'organisation analyse et met en corrélation les enregistrements d'audit de différents référentiels afin d'acquérir une connaissance de la situation à l'échelle de l'organisation. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur le Web ACLs régional et mondial. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait. | |
| AU-6 (3) | L'organisation analyse et met en corrélation les enregistrements d'audit de différents référentiels afin d'acquérir une connaissance de la situation à l'échelle de l'organisation. | La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs. | |
| AU-6 (3) | L'organisation analyse et met en corrélation les enregistrements d'audit de différents référentiels afin d'acquérir une connaissance de la situation à l'échelle de l'organisation. | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des informations détaillées sur l'activité des appels d'API au sein de votre AWS compte. | |
| AU-6 (3) | L'organisation analyse et met en corrélation les enregistrements d'audit de différents référentiels afin d'acquérir une connaissance de la situation à l'échelle de l'organisation. | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les AWS comptes qui ont appelé un AWS service, l'adresse IP source à partir de laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
| AU-6 (3) | L'organisation analyse et met en corrélation les enregistrements d'audit de différents référentiels afin d'acquérir une connaissance de la situation à l'échelle de l'organisation. | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du AWS compte qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
| AU-6 (3) | L'organisation analyse et met en corrélation les enregistrements d'audit de différents référentiels afin d'acquérir une connaissance de la situation à l'échelle de l'organisation. | L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. | |
| AU-6 (3) | L'organisation analyse et met en corrélation les enregistrements d'audit de différents référentiels afin d'acquérir une connaissance de la situation à l'échelle de l'organisation. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
| AU-6 (3) | L'organisation analyse et met en corrélation les enregistrements d'audit de différents référentiels afin d'acquérir une connaissance de la situation à l'échelle de l'organisation. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| AU-6 (3) | L'organisation analyse et met en corrélation les enregistrements d'audit de différents référentiels afin d'acquérir une connaissance de la situation à l'échelle de l'organisation. | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
| AU-6 (3) | L'organisation analyse et met en corrélation les enregistrements d'audit de différents référentiels afin d'acquérir une connaissance de la situation à l'échelle de l'organisation. | Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole. | |
| AU-7 | Le système d'information fournit et met en œuvre une capacité de réduction des dossiers d'audit et de génération de rapports qui : a. Prend en charge l'examen des dossiers d'audit à la demande, l'analyse et les exigences en matière de rapports, ainsi que les after-the-fact enquêtes sur les incidents ; et b. Ne modifie pas le contenu original ni l'ordre chronologique des enregistrements d'audit. | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des informations détaillées sur l'activité des appels d'API au sein de votre AWS compte. | |
| AU-7 | Le système d'information fournit et met en œuvre une capacité de réduction des dossiers d'audit et de génération de rapports qui : a. Prend en charge l'examen des dossiers d'audit à la demande, l'analyse et les exigences en matière de rapports, ainsi que les after-the-fact enquêtes sur les incidents ; et b. Ne modifie pas le contenu original ni l'ordre chronologique des enregistrements d'audit. | Utilisez la validation des fichiers AWS CloudTrail journaux pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonctionnalité est créée grâce à des algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection. | |
| AU-7(1) | Le système d'information permet de traiter les enregistrements d'audit pour les événements intéressants en fonction de [Attribution : champs d'audit définis par l'organisation dans les enregistrements d'audit]. | Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement. | |
| AU-7 (1) | Le système d'information permet de traiter les enregistrements d'audit pour les événements intéressants en fonction de [Attribution : champs d'audit définis par l'organisation dans les enregistrements d'audit]. | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des informations détaillées sur l'activité des appels d'API au sein de votre AWS compte. | |
| AU-9 | Le système d'information protège les informations d'audit et les outils d'audit contre tout accès, modification et suppression non autorisés. | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le cryptage est activé pour vos AWS CloudTrail pistes. | |
| AU-9 | Le système d'information protège les informations d'audit et les outils d'audit contre tout accès, modification et suppression non autorisés. | Pour protéger les données sensibles au repos, assurez-vous que le chiffrement est activé pour vos Amazon CloudWatch Log Groups. | |
| AU-9 | Le système d'information protège les informations d'audit et les outils d'audit contre tout accès, modification et suppression non autorisés. | Utilisez la validation des fichiers AWS CloudTrail journaux pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonctionnalité est créée grâce à des algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection. | |
| AU-9(2) | Le système d'information sauvegarde les enregistrements d'audit au moins une fois par semaine sur un système ou un composant du système physiquement différent du système ou du composant vérifié. | La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données. | |
| AU-9(2) | Le système d'information sauvegarde les enregistrements d'audit au moins une fois par semaine sur un système ou un composant du système physiquement différent du système ou du composant vérifié. | La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative. | |
| AU-12 | Le système d'information fournit une capacité de génération d'enregistrements d'audit pour les types d'événements que le système est capable d'auditer, tels que définis dans l'AU-2a sur [Affectation : composants du système définis par l'organisation] ; b. Autoriser [Affectation : personnel ou rôles définis par l'organisation] à sélectionner les types d'événements qui doivent être enregistrés par des composants spécifiques du système ; et c. Générez des enregistrements d'audit pour les types d'événements définis dans AU-2c qui incluent le contenu des enregistrements d'audit défini dans AU-3. | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| AU-12 | Le système d'information fournit une capacité de génération d'enregistrements d'audit pour les types d'événements que le système est capable d'auditer, tels que définis dans l'AU-2a sur [Affectation : composants du système définis par l'organisation] ; b. Autoriser [Affectation : personnel ou rôles définis par l'organisation] à sélectionner les types d'événements qui doivent être enregistrés par des composants spécifiques du système ; et c. Générez des enregistrements d'audit pour les types d'événements définis dans AU-2c qui incluent le contenu des enregistrements d'audit défini dans AU-3. | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
| AU-12 | Le système d'information fournit une capacité de génération d'enregistrements d'audit pour les types d'événements que le système est capable d'auditer, tels que définis dans l'AU-2a sur [Affectation : composants du système définis par l'organisation] ; b. Autoriser [Affectation : personnel ou rôles définis par l'organisation] à sélectionner les types d'événements qui doivent être enregistrés par des composants spécifiques du système ; et c. Générez des enregistrements d'audit pour les types d'événements définis dans AU-2c qui incluent le contenu des enregistrements d'audit défini dans AU-3. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur le Web ACLs régional et mondial. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait. | |
| AU-12 | Le système d'information fournit une capacité de génération d'enregistrements d'audit pour les types d'événements que le système est capable d'auditer, tels que définis dans l'AU-2a sur [Affectation : composants du système définis par l'organisation] ; b. Autoriser [Affectation : personnel ou rôles définis par l'organisation] à sélectionner les types d'événements qui doivent être enregistrés par des composants spécifiques du système ; et c. Générez des enregistrements d'audit pour les types d'événements définis dans AU-2c qui incluent le contenu des enregistrements d'audit défini dans AU-3. | La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs. | |
| AU-12 | Le système d'information fournit une capacité de génération d'enregistrements d'audit pour les types d'événements que le système est capable d'auditer, tels que définis dans l'AU-2a sur [Affectation : composants du système définis par l'organisation] ; b. Autoriser [Affectation : personnel ou rôles définis par l'organisation] à sélectionner les types d'événements qui doivent être enregistrés par des composants spécifiques du système ; et c. Générez des enregistrements d'audit pour les types d'événements définis dans AU-2c qui incluent le contenu des enregistrements d'audit défini dans AU-3. | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des informations détaillées sur l'activité des appels d'API au sein de votre AWS compte. | |
| AU-12 | Le système d'information fournit une capacité de génération d'enregistrements d'audit pour les types d'événements que le système est capable d'auditer, tels que définis dans l'AU-2a sur [Affectation : composants du système définis par l'organisation] ; b. Autoriser [Affectation : personnel ou rôles définis par l'organisation] à sélectionner les types d'événements qui doivent être enregistrés par des composants spécifiques du système ; et c. Générez des enregistrements d'audit pour les types d'événements définis dans AU-2c qui incluent le contenu des enregistrements d'audit défini dans AU-3. | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les AWS comptes qui ont appelé un AWS service, l'adresse IP source à partir de laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
| AU-12 | Le système d'information fournit une capacité de génération d'enregistrements d'audit pour les types d'événements que le système est capable d'auditer, tels que définis dans l'AU-2a sur [Affectation : composants du système définis par l'organisation] ; b. Autoriser [Affectation : personnel ou rôles définis par l'organisation] à sélectionner les types d'événements qui doivent être enregistrés par des composants spécifiques du système ; et c. Générez des enregistrements d'audit pour les types d'événements définis dans AU-2c qui incluent le contenu des enregistrements d'audit défini dans AU-3. | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du AWS compte qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
| AU-12 | Le système d'information fournit une capacité de génération d'enregistrements d'audit pour les types d'événements que le système est capable d'auditer, tels que définis dans l'AU-2a sur [Affectation : composants du système définis par l'organisation] ; b. Autoriser [Affectation : personnel ou rôles définis par l'organisation] à sélectionner les types d'événements qui doivent être enregistrés par des composants spécifiques du système ; et c. Générez des enregistrements d'audit pour les types d'événements définis dans AU-2c qui incluent le contenu des enregistrements d'audit défini dans AU-3. | L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. | |
| AU-12 | Le système d'information fournit une capacité de génération d'enregistrements d'audit pour les types d'événements que le système est capable d'auditer, tels que définis dans l'AU-2a sur [Affectation : composants du système définis par l'organisation] ; b. Autoriser [Affectation : personnel ou rôles définis par l'organisation] à sélectionner les types d'événements qui doivent être enregistrés par des composants spécifiques du système ; et c. Générez des enregistrements d'audit pour les types d'événements définis dans AU-2c qui incluent le contenu des enregistrements d'audit défini dans AU-3. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
| AU-12 | Le système d'information fournit une capacité de génération d'enregistrements d'audit pour les types d'événements que le système est capable d'auditer, tels que définis dans l'AU-2a sur [Affectation : composants du système définis par l'organisation] ; b. Autoriser [Affectation : personnel ou rôles définis par l'organisation] à sélectionner les types d'événements qui doivent être enregistrés par des composants spécifiques du système ; et c. Générez des enregistrements d'audit pour les types d'événements définis dans AU-2c qui incluent le contenu des enregistrements d'audit défini dans AU-3. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| AU-12 | Le système d'information fournit une capacité de génération d'enregistrements d'audit pour les types d'événements que le système est capable d'auditer, tels que définis dans l'AU-2a sur [Affectation : composants du système définis par l'organisation] ; b. Autoriser [Affectation : personnel ou rôles définis par l'organisation] à sélectionner les types d'événements qui doivent être enregistrés par des composants spécifiques du système ; et c. Générez des enregistrements d'audit pour les types d'événements définis dans AU-2c qui incluent le contenu des enregistrements d'audit défini dans AU-3. | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
| AU-12 | Le système d'information fournit une capacité de génération d'enregistrements d'audit pour les types d'événements que le système est capable d'auditer, tels que définis dans l'AU-2a sur [Affectation : composants du système définis par l'organisation] ; b. Autoriser [Affectation : personnel ou rôles définis par l'organisation] à sélectionner les types d'événements qui doivent être enregistrés par des composants spécifiques du système ; et c. Générez des enregistrements d'audit pour les types d'événements définis dans AU-2c qui incluent le contenu des enregistrements d'audit défini dans AU-3. | Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole. | |
| CA-7(a)(b) | L'organisation élabore une stratégie de surveillance continue et met en œuvre un programme de surveillance continue qui comprend : a. Établissement de [Attribution : métriques définies par l'organisation] à surveiller ; b. Établissement de [Attribution : fréquences définies par l'organisation] pour la surveillance et [Attribution : fréquences définies par l'organisation] pour les évaluations afin de faciliter cette surveillance | Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement. | |
| CA-7(a)(b) | L'organisation élabore une stratégie de surveillance continue et met en œuvre un programme de surveillance continue qui comprend : a. Établissement de [Attribution : métriques définies par l'organisation] à surveiller ; b. Établissement de [Attribution : fréquences définies par l'organisation] pour la surveillance et [Attribution : fréquences définies par l'organisation] pour les évaluations afin de faciliter cette surveillance | Activez cette règle pour améliorer la surveillance des instances Amazon Elastic Compute Cloud (Amazon EC2) sur la EC2 console Amazon, qui affiche des graphiques de surveillance avec une période d'une minute pour l'instance. | |
| CA-7(a)(b) | L'organisation élabore une stratégie de surveillance continue et met en œuvre un programme de surveillance continue qui comprend : a. Établissement de [Attribution : métriques définies par l'organisation] à surveiller ; b. Établissement de [Attribution : fréquences définies par l'organisation] pour la surveillance et [Attribution : fréquences définies par l'organisation] pour les évaluations afin de faciliter cette surveillance | Activez Amazon Relational Database Service (Amazon RDS) pour surveiller la disponibilité d'Amazon RDS. Vous disposez ainsi d'une visibilité détaillée sur l'état de vos instances de base de données Amazon RDS. Lorsque le stockage Amazon RDS utilise plusieurs appareils physiques sous-jacents, Enhanced Monitoring collecte les données pour chaque appareil. En outre, lorsque l'instance de base de données Amazon RDS est exécutée dans le cadre d'un déploiement multi-AZ, les données de chaque appareil sur l'hôte secondaire sont collectées, ainsi que les métriques de l'hôte secondaire. | |
| CA-7(a)(b) | L'organisation élabore une stratégie de surveillance continue et met en œuvre un programme de surveillance continue qui comprend : a. Établissement de [Attribution : métriques définies par l'organisation] à surveiller ; b. Établissement de [Attribution : fréquences définies par l'organisation] pour la surveillance et [Attribution : fréquences définies par l'organisation] pour les évaluations afin de faciliter cette surveillance | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| CA-7(a)(b) | L'organisation élabore une stratégie de surveillance continue et met en œuvre un programme de surveillance continue qui comprend : a. Établissement de [Attribution : métriques définies par l'organisation] à surveiller ; b. Établissement de [Attribution : fréquences définies par l'organisation] pour la surveillance et [Attribution : fréquences définies par l'organisation] pour les évaluations afin de faciliter cette surveillance | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| CA-7(a)(b) | L'organisation élabore une stratégie de surveillance continue et met en œuvre un programme de surveillance continue qui comprend : a. Établissement de [Attribution : métriques définies par l'organisation] à surveiller ; b. Établissement de [Attribution : fréquences définies par l'organisation] pour la surveillance et [Attribution : fréquences définies par l'organisation] pour les évaluations afin de faciliter cette surveillance | Les tests de santé Elastic Load Balancer (ELB) pour les groupes Amazon Elastic Compute Cloud (Amazon) EC2 Auto Scaling permettent de maintenir une capacité et une disponibilité adéquates. L'équilibreur de charge envoie régulièrement des pings, tente de se connecter ou envoie des demandes pour tester l'état des EC2 instances Amazon dans un groupe d'auto-scaling. Si une instance ne produit pas de rapport, le trafic est envoyé vers une nouvelle EC2 instance Amazon. | |
| CA-7(a)(b) | L'organisation élabore une stratégie de surveillance continue et met en œuvre un programme de surveillance continue qui comprend : a. Établissement de [Attribution : métriques définies par l'organisation] à surveiller ; b. Établissement de [Attribution : fréquences définies par l'organisation] pour la surveillance et [Attribution : fréquences définies par l'organisation] pour les évaluations afin de faciliter cette surveillance | AWS Les rapports de santé améliorés d'Elastic Beanstalk permettent de réagir plus rapidement aux modifications de l'état de santé de l'infrastructure sous-jacente. Ces modifications peuvent entraîner un manque de disponibilité de l'application. Les rapports d'état améliorés Elastic Beanstalk fournissent un descripteur d'état permettant d'évaluer la gravité des problèmes identifiés et d'identifier les causes possibles à étudier. | |
| CA-7(a)(b) | L'organisation élabore une stratégie de surveillance continue et met en œuvre un programme de surveillance continue qui comprend : a. Établissement de [Attribution : métriques définies par l'organisation] à surveiller ; b. Établissement de [Attribution : fréquences définies par l'organisation] pour la surveillance et [Attribution : fréquences définies par l'organisation] pour les évaluations afin de faciliter cette surveillance | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les AWS comptes qui ont appelé un AWS service, l'adresse IP source à partir de laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
| CA-7(a)(b) | L'organisation élabore une stratégie de surveillance continue et met en œuvre un programme de surveillance continue qui comprend : a. Établissement de [Attribution : métriques définies par l'organisation] à surveiller ; b. Établissement de [Attribution : fréquences définies par l'organisation] pour la surveillance et [Attribution : fréquences définies par l'organisation] pour les évaluations afin de faciliter cette surveillance | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du AWS compte qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
| CA-7(a)(b) | L'organisation élabore une stratégie de surveillance continue et met en œuvre un programme de surveillance continue qui comprend : a. Établissement de [Attribution : métriques définies par l'organisation] à surveiller ; b. Établissement de [Attribution : fréquences définies par l'organisation] pour la surveillance et [Attribution : fréquences définies par l'organisation] pour les évaluations afin de faciliter cette surveillance | Activez cette règle pour vous assurer que la capacité de débit allouée est vérifiée sur vos tables Amazon DynamoDB. Il s'agit du volume d'activité de lecture/d'écriture que chaque table peut prendre en charge. DynamoDB utilise ces informations pour réserver des ressources système suffisantes pour répondre à vos exigences de débit. Cette règle génère une alerte lorsque le débit approche de la limite maximale pour le compte d'un client. Cette règle vous permet de définir éventuellement les paramètres du RCUThreshold pourcentage du compte (par défaut de configuration : 80) et du WCUThreshold pourcentage du compte (par défaut de configuration : 80). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| CA-7(a)(b) | L'organisation élabore une stratégie de surveillance continue et met en œuvre un programme de surveillance continue qui comprend : a. Établissement de [Attribution : métriques définies par l'organisation] à surveiller ; b. Établissement de [Attribution : fréquences définies par l'organisation] pour la surveillance et [Attribution : fréquences définies par l'organisation] pour les évaluations afin de faciliter cette surveillance | Cette règle assure que les limites de simultanéité élevées et basses d'une fonction Lambda ont été définies. Elle permet de référencer le nombre de demandes auxquelles votre fonction répond à un moment donné. | |
| CA-7(a)(b) | L'organisation élabore une stratégie de surveillance continue et met en œuvre un programme de surveillance continue qui comprend : a. Établissement de [Attribution : métriques définies par l'organisation] à surveiller ; b. Établissement de [Attribution : fréquences définies par l'organisation] pour la surveillance et [Attribution : fréquences définies par l'organisation] pour les évaluations afin de faciliter cette surveillance | Activez cette règle pour notifier le personnel concerné par l'intermédiaire d'Amazon Simple Queue Service (Amazon SQS) ou d'Amazon Simple Notification Service (Amazon SNS) en cas d'échec d'une fonction. | |
| CA-7(a)(b) | L'organisation élabore une stratégie de surveillance continue et met en œuvre un programme de surveillance continue qui comprend : a. Établissement de [Attribution : métriques définies par l'organisation] à surveiller ; b. Établissement de [Attribution : fréquences définies par l'organisation] pour la surveillance et [Attribution : fréquences définies par l'organisation] pour les évaluations afin de faciliter cette surveillance | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
| CA-7(a)(b) | L'organisation élabore une stratégie de surveillance continue et met en œuvre un programme de surveillance continue qui comprend : a. Établissement de [Attribution : métriques définies par l'organisation] à surveiller ; b. Établissement de [Attribution : fréquences définies par l'organisation] pour la surveillance et [Attribution : fréquences définies par l'organisation] pour les évaluations afin de faciliter cette surveillance | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| CM-2 | L'organisation élabore, documente et maintient, sous contrôle de configuration, une configuration de référence actuelle du système d'information. | Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec AWS Systems Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement. | |
| CM-2 | L'organisation élabore, documente et maintient, sous contrôle de configuration, une configuration de référence actuelle du système d'information. | Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des niveaux de référence pour les niveaux de correctifs du système d'exploitation, les installations de logiciels, les configurations d'applications et d'autres informations relatives à votre environnement. | |
| CM-2 | L'organisation élabore, documente et maintient, sous contrôle de configuration, une configuration de référence actuelle du système d'information. | Activez cette règle pour faciliter la configuration de base des instances Amazon Elastic Compute Cloud (Amazon EC2) en vérifiant si les EC2 instances Amazon ont été arrêtées pendant plus de jours que le nombre de jours autorisé, conformément aux normes de votre organisation. | |
| CM-2 | L'organisation élabore, documente et maintient, sous contrôle de configuration, une configuration de référence actuelle du système d'information. | Cette règle garantit que les volumes Amazon Elastic Block Store attachés aux instances Amazon Elastic Compute Cloud (Amazon EC2) sont marqués pour suppression lorsqu'une instance est résiliée. Si un volume Amazon EBS n'est pas supprimé lorsque l'instance à laquelle il est attaché est résiliée, cela peut enfreindre le concept de moindre fonctionnalité. | |
| CM-2 | L'organisation élabore, documente et maintient, sous contrôle de configuration, une configuration de référence actuelle du système d'information. | Cette règle garantit que la protection contre la suppression est activée pour Elastic Load Balancing. Utilisez cette fonctionnalité pour empêcher la suppression accidentelle ou malveillante de votre équilibreur de charge, ce qui pourrait entraîner une perte de disponibilité pour vos applications. | |
| CM-2 | L'organisation élabore, documente et maintient, sous contrôle de configuration, une configuration de référence actuelle du système d'information. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont limités sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| CM-2 | L'organisation élabore, documente et maintient, sous contrôle de configuration, une configuration de référence actuelle du système d'information. | Assurez-vous que AWS le WAF est activé sur les Elastic Load Balancers (ELB) pour protéger les applications Web. Un WAF permet de protéger vos applications Web ou APIs contre les exploits Web courants. Ces attaques Web peuvent affecter la disponibilité, compromettre la sécurité ou consommer des ressources excessives dans votre environnement. | |
| CM-2 | L'organisation élabore, documente et maintient, sous contrôle de configuration, une configuration de référence actuelle du système d'information. | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| CM-2 | L'organisation élabore, documente et maintient, sous contrôle de configuration, une configuration de référence actuelle du système d'information. | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| CM-2 | L'organisation élabore, documente et maintient, sous contrôle de configuration, une configuration de référence actuelle du système d'information. | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les EC2 instances Amazon peuvent contenir des informations sensibles et un contrôle d'accès est requis pour ces comptes. | |
| CM-2 | L'organisation élabore, documente et maintient, sous contrôle de configuration, une configuration de référence actuelle du système d'information. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
| CM-2 | L'organisation élabore, documente et maintient, sous contrôle de configuration, une configuration de référence actuelle du système d'information. | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| CM-2 | L'organisation élabore, documente et maintient, sous contrôle de configuration, une configuration de référence actuelle du système d'information. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
| CM-2 | L'organisation élabore, documente et maintient, sous contrôle de configuration, une configuration de référence actuelle du système d'information. | Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et d'autres services au sein d'Amazon VPC, sans avoir besoin de passerelle Internet, d'appareil NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez EC2 des instances Amazon à un Amazon VPC pour gérer correctement l'accès. | |
| CM-2 | L'organisation élabore, documente et maintient, sous contrôle de configuration, une configuration de référence actuelle du système d'information. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
| CM-2 | L'organisation élabore, documente et maintient, sous contrôle de configuration, une configuration de référence actuelle du système d'information. | Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC. | |
| CM-2 | L'organisation élabore, documente et maintient, sous contrôle de configuration, une configuration de référence actuelle du système d'information. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| CM-2 | L'organisation élabore, documente et maintient, sous contrôle de configuration, une configuration de référence actuelle du système d'information. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| CM-2 | L'organisation élabore, documente et maintient, sous contrôle de configuration, une configuration de référence actuelle du système d'information. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| CM-2 | L'organisation élabore, documente et maintient, sous contrôle de configuration, une configuration de référence actuelle du système d'information. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| CM-2 | L'organisation élabore, documente et maintient, sous contrôle de configuration, une configuration de référence actuelle du système d'information. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| CM-2 | L'organisation élabore, documente et maintient, sous contrôle de configuration, une configuration de référence actuelle du système d'information. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
| CM-2 | L'organisation élabore, documente et maintient, sous contrôle de configuration, une configuration de référence actuelle du système d'information. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
| CM-2 | L'organisation élabore, documente et maintient, sous contrôle de configuration, une configuration de référence actuelle du système d'information. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
| CM-2 | L'organisation élabore, documente et maintient, sous contrôle de configuration, une configuration de référence actuelle du système d'information. | Assurez-vous que les tables de EC2 routage Amazon ne disposent pas de routes illimitées vers une passerelle Internet. La suppression ou la limitation de l'accès à Internet pour les charges de travail au sein d'Amazon VPCs peut réduire les accès involontaires au sein de votre environnement. | |
| CM-2 | L'organisation élabore, documente et maintient, sous contrôle de configuration, une configuration de référence actuelle du système d'information. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
| CM-2 | L'organisation élabore, documente et maintient, sous contrôle de configuration, une configuration de référence actuelle du système d'information. | Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux sur lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale. | |
| CM-2 | L'organisation élabore, documente et maintient, sous contrôle de configuration, une configuration de référence actuelle du système d'information. | Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. EC2 les ressources ne doivent pas être accessibles au public, car cela peut permettre un accès involontaire à vos applications ou à vos serveurs. | |
| CM-2 | L'organisation élabore, documente et maintient, sous contrôle de configuration, une configuration de référence actuelle du système d'information. | AWS Le WAF vous permet de configurer un ensemble de règles (appelé liste de contrôle d'accès Web (ACL Web)) qui autorisent, bloquent ou comptent les requêtes Web en fonction de règles et de conditions de sécurité Web personnalisables que vous définissez. Assurez-vous que votre étape Amazon API Gateway est associée à une liste ACL Web WAF pour la protéger contre les attaques malveillantes | |
| CM-2 | L'organisation élabore, documente et maintient, sous contrôle de configuration, une configuration de référence actuelle du système d'information. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| CM-7(a) | L'organisation : a. Configure le système d'information pour qu'il ne fournisse que les fonctionnalités essentielles. | Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec AWS Systems Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement. | |
| CM-7(a) | L'organisation : a. Configure le système d'information pour qu'il ne fournisse que les fonctionnalités essentielles. | Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des niveaux de référence pour les niveaux de correctifs du système d'exploitation, les installations de logiciels, les configurations d'applications et d'autres informations relatives à votre environnement. | |
| CM-7(a) | L'organisation : a. Configure le système d'information pour qu'il ne fournisse que les fonctionnalités essentielles. | EC2 les profils d'instance transmettent un rôle IAM à une EC2 instance. L'association d'un profil d'instance à vos instances peut faciliter la gestion du moindre privilège et des autorisations. | |
| CM-8(1) | L'organisation met à jour l'inventaire des composants du système d'information en tant que partie intégrante des installations, des suppressions et des mises à jour du système d'information. | Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec AWS Systems Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement. | |
| CM-8(1) | L'organisation met à jour l'inventaire des composants du système d'information en tant que partie intégrante des installations, des suppressions et des mises à jour du système d'information. | Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des niveaux de référence pour les niveaux de correctifs du système d'exploitation, les installations de logiciels, les configurations d'applications et d'autres informations relatives à votre environnement. | |
| CM-8(3)(a) | L'organisation : a. Utilise des mécanismes automatisés en continu qui présentent un délai maximal de cinq minutes pour détecter la présence de composants matériels, logiciels et micrologiciels non autorisés dans le système d'information | Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec AWS Systems Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement. | |
| CM-8(3)(a) | L'organisation : a. Utilise des mécanismes automatisés en continu qui présentent un délai maximal de cinq minutes pour détecter la présence de composants matériels, logiciels et micrologiciels non autorisés dans le système d'information | Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des niveaux de référence pour les niveaux de correctifs du système d'exploitation, les installations de logiciels, les configurations d'applications et d'autres informations relatives à votre environnement. | |
| CM-8(3)(a) | L'organisation : a. Utilise des mécanismes automatisés en continu qui présentent un délai maximal de cinq minutes pour détecter la présence de composants matériels, logiciels et micrologiciels non autorisés dans le système d'information | Activez cette règle pour faciliter l'identification et la documentation des vulnérabilités d'Amazon Elastic Compute Cloud (Amazon EC2). La règle vérifie si les correctifs d' EC2 instance Amazon sont conformes dans AWS Systems Manager conformément aux politiques et procédures de votre entreprise. | |
| CM-8(3)(a) | L'organisation : a. Utilise des mécanismes automatisés en continu qui présentent un délai maximal de cinq minutes pour détecter la présence de composants matériels, logiciels et micrologiciels non autorisés dans le système d'information | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| CP-6 (1) | L'organisation identifie un autre site de stockage suffisamment séparé du site de stockage principal pour réduire la vulnérabilité aux mêmes menaces. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos tables Amazon DynamoDB font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| CP-6 (1) | L'organisation identifie un autre site de stockage suffisamment séparé du site de stockage principal pour réduire la vulnérabilité aux mêmes menaces. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos volumes Amazon Elastic Block Store (Amazon EBS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| CP-6 (1) | L'organisation identifie un autre site de stockage suffisamment séparé du site de stockage principal pour réduire la vulnérabilité aux mêmes menaces. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon Elastic File System (Amazon EFS) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| CP-6 (1) | L'organisation identifie un autre site de stockage suffisamment séparé du site de stockage principal pour réduire la vulnérabilité aux mêmes menaces. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos clusters Amazon Redshift disposent d'instantanés automatisés. Lorsque les instantanés automatiques sont activés pour un cluster, Redshift prend régulièrement des instantanés de ce cluster. Par défaut, Redshift prend un instantané toutes les 8 heures ou tous les 5 Go par nœud de modifications de données, selon la première de ces deux éventualités. | |
| CP-6 (1) | L'organisation identifie un autre site de stockage suffisamment séparé du site de stockage principal pour réduire la vulnérabilité aux mêmes menaces. | La fonctionnalité de sauvegarde d'Amazon RDS crée des sauvegardes de vos bases de données et de vos journaux de transactions. Amazon RDS crée automatiquement un instantané du volume de stockage de votre instance de base de données, en sauvegardant l'intégralité de cette dernière. Le système vous permet de définir des périodes de conservation spécifiques pour répondre à vos exigences de résilience. | |
| CP-6 (1) | L'organisation identifie un autre site de stockage suffisamment séparé du site de stockage principal pour réduire la vulnérabilité aux mêmes menaces. | elasticache-redis-cluster-automatic-vérification des sauvegardes |
Lorsque les sauvegardes automatiques sont activées, Amazon ElastiCache crée une sauvegarde du cluster quotidiennement. La sauvegarde peut être conservée pendant un nombre de jours défini par votre organisation. Les sauvegardes automatiques peuvent constituer une protection contre la perte de données. En cas de défaillance, vous pouvez créer un nouveau cluster, ce qui restaurera vos données à partir de la sauvegarde la plus récente. |
| CP-6 (1) | L'organisation identifie un autre site de stockage suffisamment séparé du site de stockage principal pour réduire la vulnérabilité aux mêmes menaces. | La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données. | |
| CP-6 (1) | L'organisation identifie un autre site de stockage suffisamment séparé du site de stockage principal pour réduire la vulnérabilité aux mêmes menaces. | La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative. | |
| CP-9 | Le système d'information a. Effectuez des sauvegardes des informations au niveau de l'utilisateur contenues dans [Affectation : composants système définis par l'organisation] [Affectation : fréquence définie par l'organisation conformément aux objectifs de temps et de point de restauration] ; b. Effectuer des sauvegardes des informations contenues dans le système [Affectation : fréquence définie par l'organisation conformément aux objectifs en matière de temps et de point de restauration] ; c. Effectuez des sauvegardes de la documentation du système, y compris de la documentation relative à la sécurité et à la confidentialité [Affectation : fréquence définie par l'organisation conformément aux objectifs en matière de temps de restauration et de point de restauration] ; et Assurez la confidentialité, l'intégrité et la disponibilité des informations liées à ces sauvegardes. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos tables Amazon DynamoDB font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| CP-9 | Le système d'information a. Effectuez des sauvegardes des informations au niveau de l'utilisateur contenues dans [Affectation : composants système définis par l'organisation] [Affectation : fréquence définie par l'organisation conformément aux objectifs de temps et de point de restauration] ; b. Effectuer des sauvegardes des informations contenues dans le système [Affectation : fréquence définie par l'organisation conformément aux objectifs en matière de temps et de point de restauration] ; c. Effectuez des sauvegardes de la documentation du système, y compris de la documentation relative à la sécurité et à la confidentialité [Affectation : fréquence définie par l'organisation conformément aux objectifs en matière de temps de restauration et de point de restauration] ; et Assurez la confidentialité, l'intégrité et la disponibilité des informations liées à ces sauvegardes. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos volumes Amazon Elastic Block Store (Amazon EBS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| CP-9 | Le système d'information a. Effectuez des sauvegardes des informations au niveau de l'utilisateur contenues dans [Affectation : composants système définis par l'organisation] [Affectation : fréquence définie par l'organisation conformément aux objectifs de temps et de point de restauration] ; b. Effectuer des sauvegardes des informations contenues dans le système [Affectation : fréquence définie par l'organisation conformément aux objectifs en matière de temps et de point de restauration] ; c. Effectuez des sauvegardes de la documentation du système, y compris de la documentation relative à la sécurité et à la confidentialité [Affectation : fréquence définie par l'organisation conformément aux objectifs en matière de temps de restauration et de point de restauration] ; et Assurez la confidentialité, l'intégrité et la disponibilité des informations liées à ces sauvegardes. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon Elastic File System (Amazon EFS) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| CP-9 | Le système d'information a. Effectuez des sauvegardes des informations au niveau de l'utilisateur contenues dans [Affectation : composants système définis par l'organisation] [Affectation : fréquence définie par l'organisation conformément aux objectifs de temps et de point de restauration] ; b. Effectuer des sauvegardes des informations contenues dans le système [Affectation : fréquence définie par l'organisation conformément aux objectifs en matière de temps et de point de restauration] ; c. Effectuez des sauvegardes de la documentation du système, y compris de la documentation relative à la sécurité et à la confidentialité [Affectation : fréquence définie par l'organisation conformément aux objectifs en matière de temps de restauration et de point de restauration] ; et Assurez la confidentialité, l'intégrité et la disponibilité des informations liées à ces sauvegardes. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos clusters Amazon Redshift disposent d'instantanés automatisés. Lorsque les instantanés automatiques sont activés pour un cluster, Redshift prend régulièrement des instantanés de ce cluster. Par défaut, Redshift prend un instantané toutes les 8 heures ou tous les 5 Go par nœud de modifications de données, selon la première de ces deux éventualités. | |
| CP-9 | Le système d'information a. Effectuez des sauvegardes des informations au niveau de l'utilisateur contenues dans [Affectation : composants système définis par l'organisation] [Affectation : fréquence définie par l'organisation conformément aux objectifs de temps et de point de restauration] ; b. Effectuer des sauvegardes des informations contenues dans le système [Affectation : fréquence définie par l'organisation conformément aux objectifs en matière de temps et de point de restauration] ; c. Effectuez des sauvegardes de la documentation du système, y compris de la documentation relative à la sécurité et à la confidentialité [Affectation : fréquence définie par l'organisation conformément aux objectifs en matière de temps de restauration et de point de restauration] ; et Assurez la confidentialité, l'intégrité et la disponibilité des informations liées à ces sauvegardes. | Assurez-vous que les politiques de cycle de vie d'Amazon S3 sont configurées pour vous aider à définir les actions qu'Amazon S3 doit effectuer au cours de la durée de vie d'un objet (par exemple, transférer les objets vers une autre classe de stockage, les archiver ou les supprimer au bout d'une certaine période). | |
| CP-9 | Le système d'information a. Effectuez des sauvegardes des informations au niveau de l'utilisateur contenues dans [Affectation : composants système définis par l'organisation] [Affectation : fréquence définie par l'organisation conformément aux objectifs de temps et de point de restauration] ; b. Effectuer des sauvegardes des informations contenues dans le système [Affectation : fréquence définie par l'organisation conformément aux objectifs en matière de temps et de point de restauration] ; c. Effectuez des sauvegardes de la documentation du système, y compris de la documentation relative à la sécurité et à la confidentialité [Affectation : fréquence définie par l'organisation conformément aux objectifs en matière de temps de restauration et de point de restauration] ; et Assurez la confidentialité, l'intégrité et la disponibilité des informations liées à ces sauvegardes. | La fonctionnalité de sauvegarde d'Amazon RDS crée des sauvegardes de vos bases de données et de vos journaux de transactions. Amazon RDS crée automatiquement un instantané du volume de stockage de votre instance de base de données, en sauvegardant l'intégralité de cette dernière. Le système vous permet de définir des périodes de conservation spécifiques pour répondre à vos exigences de résilience. | |
| CP-9 | Le système d'information a. Effectuez des sauvegardes des informations au niveau de l'utilisateur contenues dans [Affectation : composants système définis par l'organisation] [Affectation : fréquence définie par l'organisation conformément aux objectifs de temps et de point de restauration] ; b. Effectuer des sauvegardes des informations contenues dans le système [Affectation : fréquence définie par l'organisation conformément aux objectifs en matière de temps et de point de restauration] ; c. Effectuez des sauvegardes de la documentation du système, y compris de la documentation relative à la sécurité et à la confidentialité [Affectation : fréquence définie par l'organisation conformément aux objectifs en matière de temps de restauration et de point de restauration] ; et Assurez la confidentialité, l'intégrité et la disponibilité des informations liées à ces sauvegardes. | Activez cette règle pour vérifier que les informations ont été sauvegardées. Il gère également les sauvegardes en s'assurant que la point-in-time restauration est activée dans Amazon DynamoDB. La récupération permet de maintenir des sauvegardes continues de votre table pour les 35 derniers jours. | |
| CP-9 | Le système d'information a. Effectuez des sauvegardes des informations au niveau de l'utilisateur contenues dans [Affectation : composants système définis par l'organisation] [Affectation : fréquence définie par l'organisation conformément aux objectifs de temps et de point de restauration] ; b. Effectuer des sauvegardes des informations contenues dans le système [Affectation : fréquence définie par l'organisation conformément aux objectifs en matière de temps et de point de restauration] ; c. Effectuez des sauvegardes de la documentation du système, y compris de la documentation relative à la sécurité et à la confidentialité [Affectation : fréquence définie par l'organisation conformément aux objectifs en matière de temps de restauration et de point de restauration] ; et Assurez la confidentialité, l'intégrité et la disponibilité des informations liées à ces sauvegardes. | Une instance optimisée dans Amazon Elastic Block Store (Amazon EBS) fournit une capacité supplémentaire dédiée aux opérations d'E/S d'Amazon EBS. Cette optimisation offre les performances les plus efficaces pour vos volumes EBS en minimisant les conflits entre les opérations d'E/S d'Amazon EBS et le trafic restant de votre instance. | |
| CP-9 | Le système d'information a. Effectuez des sauvegardes des informations au niveau de l'utilisateur contenues dans [Affectation : composants système définis par l'organisation] [Affectation : fréquence définie par l'organisation conformément aux objectifs de temps et de point de restauration] ; b. Effectuer des sauvegardes des informations contenues dans le système [Affectation : fréquence définie par l'organisation conformément aux objectifs en matière de temps et de point de restauration] ; c. Effectuez des sauvegardes de la documentation du système, y compris de la documentation relative à la sécurité et à la confidentialité [Affectation : fréquence définie par l'organisation conformément aux objectifs en matière de temps de restauration et de point de restauration] ; et Assurez la confidentialité, l'intégrité et la disponibilité des informations liées à ces sauvegardes. | elasticache-redis-cluster-automatic-vérification des sauvegardes |
Lorsque les sauvegardes automatiques sont activées, Amazon ElastiCache crée une sauvegarde du cluster quotidiennement. La sauvegarde peut être conservée pendant un nombre de jours défini par votre organisation. Les sauvegardes automatiques peuvent constituer une protection contre la perte de données. En cas de défaillance, vous pouvez créer un nouveau cluster, ce qui restaurera vos données à partir de la sauvegarde la plus récente. |
| CP-9 | Le système d'information a. Effectuez des sauvegardes des informations au niveau de l'utilisateur contenues dans [Affectation : composants système définis par l'organisation] [Affectation : fréquence définie par l'organisation conformément aux objectifs de temps et de point de restauration] ; b. Effectuer des sauvegardes des informations contenues dans le système [Affectation : fréquence définie par l'organisation conformément aux objectifs en matière de temps et de point de restauration] ; c. Effectuez des sauvegardes de la documentation du système, y compris de la documentation relative à la sécurité et à la confidentialité [Affectation : fréquence définie par l'organisation conformément aux objectifs en matière de temps de restauration et de point de restauration] ; et Assurez la confidentialité, l'intégrité et la disponibilité des informations liées à ces sauvegardes. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| CP-9 | Le système d'information a. Effectuez des sauvegardes des informations au niveau de l'utilisateur contenues dans [Affectation : composants système définis par l'organisation] [Affectation : fréquence définie par l'organisation conformément aux objectifs de temps et de point de restauration] ; b. Effectuer des sauvegardes des informations contenues dans le système [Affectation : fréquence définie par l'organisation conformément aux objectifs en matière de temps et de point de restauration] ; c. Effectuez des sauvegardes de la documentation du système, y compris de la documentation relative à la sécurité et à la confidentialité [Affectation : fréquence définie par l'organisation conformément aux objectifs en matière de temps de restauration et de point de restauration] ; et Assurez la confidentialité, l'intégrité et la disponibilité des informations liées à ces sauvegardes. | La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données. | |
| CP-9 | Le système d'information a. Effectuez des sauvegardes des informations au niveau de l'utilisateur contenues dans [Affectation : composants système définis par l'organisation] [Affectation : fréquence définie par l'organisation conformément aux objectifs de temps et de point de restauration] ; b. Effectuer des sauvegardes des informations contenues dans le système [Affectation : fréquence définie par l'organisation conformément aux objectifs en matière de temps et de point de restauration] ; c. Effectuez des sauvegardes de la documentation du système, y compris de la documentation relative à la sécurité et à la confidentialité [Affectation : fréquence définie par l'organisation conformément aux objectifs en matière de temps de restauration et de point de restauration] ; et Assurez la confidentialité, l'intégrité et la disponibilité des informations liées à ces sauvegardes. | La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative. | |
| CP-10 | L'organisation assure la récupération et la reconstitution du système d'information dans un état connu après une interruption, une compromission ou une panne. | Amazon DynamoDB Auto Scaling AWS utilise le service Application Auto Scaling pour ajuster la capacité de débit allouée afin de répondre automatiquement aux modèles de trafic réels. Cela permet à une table ou à un index secondaire global d'augmenter sa capacité de lecture/d'écriture approvisionnée afin de gérer les hausses soudaines de trafic sans limitation. | |
| CP-10 | L'organisation assure la récupération et la reconstitution du système d'information dans un état connu après une interruption, une compromission ou une panne. | La prise en charge multi-AZ dans Amazon Relational Database Service (Amazon RDS) offre une disponibilité et une durabilité améliorées pour les instances de base de données. Lorsque vous mettez en service une instance de base de données multi-AZ, Amazon RDS crée automatiquement une instance de base de données principale et réplique de manière synchrone les données vers une instance de secours dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé. | |
| CP-10 | L'organisation assure la récupération et la reconstitution du système d'information dans un état connu après une interruption, une compromission ou une panne. | La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative. | |
| CP-10 | L'organisation assure la récupération et la reconstitution du système d'information dans un état connu après une interruption, une compromission ou une panne. | La fonctionnalité de sauvegarde d'Amazon RDS crée des sauvegardes de vos bases de données et de vos journaux de transactions. Amazon RDS crée automatiquement un instantané du volume de stockage de votre instance de base de données, en sauvegardant l'intégralité de cette dernière. Le système vous permet de définir des périodes de conservation spécifiques pour répondre à vos exigences de résilience. | |
| CP-10 | L'organisation assure la récupération et la reconstitution du système d'information dans un état connu après une interruption, une compromission ou une panne. | Activez cette règle pour vérifier que les informations ont été sauvegardées. Il gère également les sauvegardes en s'assurant que la point-in-time restauration est activée dans Amazon DynamoDB. La récupération permet de maintenir des sauvegardes continues de votre table pour les 35 derniers jours. | |
| CP-10 | L'organisation assure la récupération et la reconstitution du système d'information dans un état connu après une interruption, une compromission ou une panne. | elasticache-redis-cluster-automatic-vérification des sauvegardes |
Lorsque les sauvegardes automatiques sont activées, Amazon ElastiCache crée une sauvegarde du cluster quotidiennement. La sauvegarde peut être conservée pendant un nombre de jours défini par votre organisation. Les sauvegardes automatiques peuvent constituer une protection contre la perte de données. En cas de défaillance, vous pouvez créer un nouveau cluster, ce qui restaurera vos données à partir de la sauvegarde la plus récente. |
| CP-10 | L'organisation assure la récupération et la reconstitution du système d'information dans un état connu après une interruption, une compromission ou une panne. | Cette règle garantit que la protection contre la suppression est activée pour Elastic Load Balancing. Utilisez cette fonctionnalité pour empêcher la suppression accidentelle ou malveillante de votre équilibreur de charge, ce qui pourrait entraîner une perte de disponibilité pour vos applications. | |
| CP-10 | L'organisation assure la récupération et la reconstitution du système d'information dans un état connu après une interruption, une compromission ou une panne. | La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données. | |
| CP-10 | L'organisation assure la récupération et la reconstitution du système d'information dans un état connu après une interruption, une compromission ou une panne. | Des tunnels Site-to-Site VPN redondants peuvent être mis en œuvre pour répondre aux exigences de résilience. Il utilise deux tunnels pour garantir la connectivité au cas où l'une des connexions Site-to-Site VPN deviendrait indisponible. Pour éviter toute perte de connectivité, en cas d'indisponibilité de votre passerelle client, vous pouvez configurer une deuxième connexion Site-to-Site VPN vers votre Amazon Virtual Private Cloud (Amazon VPC) et votre passerelle privée virtuelle en utilisant une deuxième passerelle client. | |
| CP-10 | L'organisation assure la récupération et la reconstitution du système d'information dans un état connu après une interruption, une compromission ou une panne. | Activez l'équilibrage de charge entre zones pour vos équilibreurs de charge élastiques (ELBs) afin de maintenir une capacité et une disponibilité adéquates. L'équilibrage de charge entre zones réduit la nécessité de maintenir un nombre équivalent d'instances dans chaque zone de disponibilité activée. Cela améliore également la capacité de votre application à gérer la perte d'une ou de plusieurs instances. | |
| CP-10 | L'organisation assure la récupération et la reconstitution du système d'information dans un état connu après une interruption, une compromission ou une panne. | Une instance optimisée dans Amazon Elastic Block Store (Amazon EBS) fournit une capacité supplémentaire dédiée aux opérations d'E/S d'Amazon EBS. Cette optimisation offre les performances les plus efficaces pour vos volumes EBS en minimisant les conflits entre les opérations d'E/S d'Amazon EBS et le trafic restant de votre instance. | |
| CP-10 | L'organisation assure la récupération et la reconstitution du système d'information dans un état connu après une interruption, une compromission ou une panne. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos clusters Amazon Redshift disposent d'instantanés automatisés. Lorsque les instantanés automatiques sont activés pour un cluster, Redshift prend régulièrement des instantanés de ce cluster. Par défaut, Redshift prend un instantané toutes les 8 heures ou tous les 5 Go par nœud de modifications de données, selon la première de ces deux éventualités. | |
| CP-10 | L'organisation assure la récupération et la reconstitution du système d'information dans un état connu après une interruption, une compromission ou une panne. | Pour faciliter les processus de sauvegarde des données, assurez-vous que votre plan AWS de sauvegarde est défini pour une fréquence et une rétention minimales. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Cette règle vous permet de définir les paramètres requiredFrequencyValue (Config par défaut : 1), requiredRetentionDays (Config par défaut : 35) et requiredFrequencyUnit (Config par défaut : jours). La valeur réelle doit refléter les exigences de votre organisation. | |
| CP-10 | L'organisation assure la récupération et la reconstitution du système d'information dans un état connu après une interruption, une compromission ou une panne. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de FSx fichiers Amazon font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| CP-10 | L'organisation assure la récupération et la reconstitution du système d'information dans un état connu après une interruption, une compromission ou une panne. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Elastic Compute Cloud (Amazon EC2) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| CP-10 | L'organisation assure la récupération et la reconstitution du système d'information dans un état connu après une interruption, une compromission ou une panne. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Aurora font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| CP-10 | L'organisation assure la récupération et la reconstitution du système d'information dans un état connu après une interruption, une compromission ou une panne. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon DynamoDB font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| CP-10 | L'organisation assure la récupération et la reconstitution du système d'information dans un état connu après une interruption, une compromission ou une panne. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Elastic Block Store (Amazon EBS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| CP-10 | L'organisation assure la récupération et la reconstitution du système d'information dans un état connu après une interruption, une compromission ou une panne. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon Elastic File System (Amazon EFS) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| CP-10 | L'organisation assure la récupération et la reconstitution du système d'information dans un état connu après une interruption, une compromission ou une panne. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Relational Database Service (Amazon RDS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| CP-9(b) | L'organisation : b. Sauvegardes les informations du système contenues dans le système d'information (de manière incrémentielle tous les jours ; entièrement toutes les semaines). | La fonctionnalité de sauvegarde d'Amazon RDS crée des sauvegardes de vos bases de données et de vos journaux de transactions. Amazon RDS crée automatiquement un instantané du volume de stockage de votre instance de base de données, en sauvegardant l'intégralité de cette dernière. Le système vous permet de définir des périodes de conservation spécifiques pour répondre à vos exigences de résilience. | |
| CP-9(b) | L'organisation : b. Sauvegardes les informations du système contenues dans le système d'information (de manière incrémentielle tous les jours ; entièrement toutes les semaines). | Activez cette règle pour vérifier que les informations ont été sauvegardées. Il gère également les sauvegardes en s'assurant que la point-in-time restauration est activée dans Amazon DynamoDB. La récupération permet de maintenir des sauvegardes continues de votre table pour les 35 derniers jours. | |
| CP-9(b) | L'organisation : b. Sauvegardes les informations du système contenues dans le système d'information (de manière incrémentielle tous les jours ; entièrement toutes les semaines). | elasticache-redis-cluster-automatic-vérification des sauvegardes |
Lorsque les sauvegardes automatiques sont activées, Amazon ElastiCache crée une sauvegarde du cluster quotidiennement. La sauvegarde peut être conservée pendant un nombre de jours défini par votre organisation. Les sauvegardes automatiques peuvent constituer une protection contre la perte de données. En cas de défaillance, vous pouvez créer un nouveau cluster, ce qui restaurera vos données à partir de la sauvegarde la plus récente. |
| CP-9(b) | L'organisation : b. Sauvegardes les informations du système contenues dans le système d'information (de manière incrémentielle tous les jours ; entièrement toutes les semaines). | La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données. | |
| CP-9(b) | L'organisation : b. Sauvegardes les informations du système contenues dans le système d'information (de manière incrémentielle tous les jours ; entièrement toutes les semaines). | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos clusters Amazon Redshift disposent d'instantanés automatisés. Lorsque les instantanés automatiques sont activés pour un cluster, Redshift prend régulièrement des instantanés de ce cluster. Par défaut, Redshift prend un instantané toutes les 8 heures ou tous les 5 Go par nœud de modifications de données, selon la première de ces deux éventualités. | |
| CP-9(b) | L'organisation : b. Sauvegardes les informations du système contenues dans le système d'information (de manière incrémentielle tous les jours ; entièrement toutes les semaines). | La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative. | |
| CP-9(b) | L'organisation : b. Sauvegardes les informations du système contenues dans le système d'information (de manière incrémentielle tous les jours ; entièrement toutes les semaines). | Pour faciliter les processus de sauvegarde des données, assurez-vous que votre plan AWS de sauvegarde est défini pour une fréquence et une rétention minimales. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Cette règle vous permet de définir les paramètres requiredFrequencyValue (Config par défaut : 1), requiredRetentionDays (Config par défaut : 35) et requiredFrequencyUnit (Config par défaut : jours). La valeur réelle doit refléter les exigences de votre organisation. | |
| CP-9(b) | L'organisation : b. Sauvegardes les informations du système contenues dans le système d'information (de manière incrémentielle tous les jours ; entièrement toutes les semaines). | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de FSx fichiers Amazon font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| CP-9(b) | L'organisation : b. Sauvegardes les informations du système contenues dans le système d'information (de manière incrémentielle tous les jours ; entièrement toutes les semaines). | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Elastic Compute Cloud (Amazon EC2) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| CP-9(b) | L'organisation : b. Sauvegardes les informations du système contenues dans le système d'information (de manière incrémentielle tous les jours ; entièrement toutes les semaines). | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Aurora font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| CP-9(b) | L'organisation : b. Sauvegardes les informations du système contenues dans le système d'information (de manière incrémentielle tous les jours ; entièrement toutes les semaines). | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon DynamoDB font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| CP-9(b) | L'organisation : b. Sauvegardes les informations du système contenues dans le système d'information (de manière incrémentielle tous les jours ; entièrement toutes les semaines). | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Elastic Block Store (Amazon EBS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| CP-9(b) | L'organisation : b. Sauvegardes les informations du système contenues dans le système d'information (de manière incrémentielle tous les jours ; entièrement toutes les semaines). | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon Elastic File System (Amazon EFS) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| CP-9(b) | L'organisation : b. Sauvegardes les informations du système contenues dans le système d'information (de manière incrémentielle tous les jours ; entièrement toutes les semaines). | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Relational Database Service (Amazon RDS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| IA-2 | Le système d'information identifie et authentifie de manière unique les utilisateurs de l'organisation (ou les processus agissant pour le compte des utilisateurs de l'organisation). | Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| IA-2 | Le système d'information identifie et authentifie de manière unique les utilisateurs de l'organisation (ou les processus agissant pour le compte des utilisateurs de l'organisation). | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt des AWS comptes basés sur les rôles pour intégrer le principe de moindre fonctionnalité. | |
| IA-2(1) | (1) Le système d'information met en œuvre une authentification multifactorielle pour l'accès réseau aux comptes privilégiés. | Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs IAM. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs IAM. | |
| IA-2(1) | (1) Le système d'information met en œuvre une authentification multifactorielle pour l'accès réseau aux comptes privilégiés. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. En exigeant le MFA pour les utilisateurs IAM, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles. | |
| IA-2(1)(2) | (1) Le système d'information met en œuvre une authentification multifactorielle pour l'accès réseau aux comptes privilégiés. (2) Le système d'information met en œuvre une authentification multifactorielle pour l'accès réseau aux comptes non privilégiés. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. En exigeant le MFA pour les utilisateurs IAM, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles. | |
| IA-2(1)(2) | (1) Le système d'information met en œuvre une authentification multifactorielle pour l'accès réseau aux comptes privilégiés. (2) Le système d'information met en œuvre une authentification multifactorielle pour l'accès réseau aux comptes non privilégiés. | Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs IAM. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs IAM. | |
| IA-5(1)(a)(d)(e) | Le système d'information, pour l'authentification par mot de passe : a. Applique une complexité minimale des mots de passe de [Attribution : exigences définies par l'organisation pour la sensibilité à la casse, le nombre de caractères, la combinaison de lettres majuscules, de lettres minuscules, de chiffres et de caractères spéciaux, y compris les exigences minimales pour chaque type] ; d. Applique des restrictions de durée de vie minimale et maximale des mots de passe de [Attribution : nombres définis par l'organisation pour la durée de vie minimale, la durée de vie maximale] ; e. Interdit la réutilisation des mots de passe pendant 24 générations | Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| IA-5(4) | L'organisation utilise des outils automatisés pour déterminer si les authentificateurs de mots de passe sont suffisamment puissants pour satisfaire [Attribution : exigences définies par l'organisation]. | Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| IA-5(7) | L'organisation veille à ce que les authentificateurs statiques non chiffrés ne soient pas intégrés à des applications ou des scripts d'accès, ni stockés sur des touches de fonction. | Assurez-vous que les informations AWS_ACCESS_KEY_ID d'authentification n' AWS_SECRET_ACCESS_KEY existent pas dans les environnements de projet AWS Codebuild. Ne stockez pas ces variables en clair. Le stockage de ces variables en clair entraîne une exposition involontaire des données et un accès non autorisé. | |
| IR-4(1) | L'organisation utilise des mécanismes automatisés pour faciliter le processus de gestion des incidents. | Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement. | |
| IR-4 (1) | L'organisation utilise des mécanismes automatisés pour faciliter le processus de gestion des incidents. | Amazon vous GuardDuty aide à comprendre l'impact d'un incident en classant les résultats par gravité : faible, moyenne et élevée. Vous pouvez utiliser ces classifications pour déterminer les stratégies et les priorités de correction. Cette règle vous permet de définir éventuellement daysLowSev (Config Default : 30), daysMediumSev (Config Default : 7) et daysHighSev (Config Default : 1) pour les résultats non archivés, comme l'exigent les politiques de votre organisation. | |
| IR-4(1) | L'organisation utilise des mécanismes automatisés pour faciliter le processus de gestion des incidents. | Les tests de santé Elastic Load Balancer (ELB) pour les groupes Amazon Elastic Compute Cloud (Amazon) EC2 Auto Scaling permettent de maintenir une capacité et une disponibilité adéquates. L'équilibreur de charge envoie régulièrement des pings, tente de se connecter ou envoie des demandes pour tester l'état des EC2 instances Amazon dans un groupe d'auto-scaling. Si une instance ne produit pas de rapport, le trafic est envoyé vers une nouvelle EC2 instance Amazon. | |
| IR-4(1) | L'organisation utilise des mécanismes automatisés pour faciliter le processus de gestion des incidents. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| IR-4(1) | L'organisation utilise des mécanismes automatisés pour faciliter le processus de gestion des incidents. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| IR-6(1) | L'organisation utilise des mécanismes automatisés pour faciliter le signalement des incidents de sécurité. | Amazon vous GuardDuty aide à comprendre l'impact d'un incident en classant les résultats par gravité : faible, moyenne et élevée. Vous pouvez utiliser ces classifications pour déterminer les stratégies et les priorités de correction. Cette règle vous permet de définir éventuellement daysLowSev (Config Default : 30), daysMediumSev (Config Default : 7) et daysHighSev (Config Default : 1) pour les résultats non archivés, comme l'exigent les politiques de votre organisation. | |
| IR-6(1) | L'organisation utilise des mécanismes automatisés pour faciliter le signalement des incidents de sécurité. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| IR-6(1) | L'organisation utilise des mécanismes automatisés pour faciliter le signalement des incidents de sécurité. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| IR-7(1) | L'organisation utilise des mécanismes automatisés pour améliorer la disponibilité des informations et de la prise en charge liées à la réponse aux incidents. | Amazon vous GuardDuty aide à comprendre l'impact d'un incident en classant les résultats par gravité : faible, moyenne et élevée. Vous pouvez utiliser ces classifications pour déterminer les stratégies et les priorités de correction. Cette règle vous permet de définir éventuellement daysLowSev (Config Default : 30), daysMediumSev (Config Default : 7) et daysHighSev (Config Default : 1) pour les résultats non archivés, comme l'exigent les politiques de votre organisation. | |
| IR-7(1) | L'organisation utilise des mécanismes automatisés pour améliorer la disponibilité des informations et de la prise en charge liées à la réponse aux incidents. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| IR-7(1) | L'organisation utilise des mécanismes automatisés pour améliorer la disponibilité des informations et de la prise en charge liées à la réponse aux incidents. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| RA-5 | L'organisation : a. Analyses des vulnérabilités du système d'information et des applications hébergées [Affectation : la fréquence and/or randomly in accordance with organization-defined process] and when new vulnerabilities potentially affecting the system/applications définie par l'organisation est identifiée et signalée ; b. Utilise des outils et des techniques d'analyse des vulnérabilités qui facilitent l'interopérabilité entre les outils et automatisent certaines parties du processus de gestion des vulnérabilités en utilisant des normes pour : 1. L'énumération des plateformes, des failles logicielles et des configurations inappropriées ; 2. Le formatage des listes de contrôle et des procédures de test ; et 3. La mesure de l'impact des vulnérabilités ; c. Analyse les rapports d'analyse des vulnérabilités et les résultats des évaluations de contrôle de la sécurité ; d. Corrige les vulnérabilités légitimes [Attribution : temps de réponse définis par l'organisation], conformément à une évaluation organisationnelle des risques ; et e. Partage les informations obtenues dans le cadre du processus d'analyse des vulnérabilités et des évaluations de contrôle de la sécurité avec [Attribution : personnel ou rôles définis par l'organisation] pour faciliter l'élimination des vulnérabilités similaires dans d'autres systèmes d'information (c'est-à-dire les faiblesses ou déficiences systémiques). | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| RA-5 | L'organisation : a. Analyses mensuelles pour détecter les vulnérabilités du système d'information et des applications hébergées [les applications opérationnelles system/infrastructure; monthly web applications and databases] and when new vulnerabilities potentially affecting the system/applications sont identifiées et signalées ; b. Utilise des outils et des techniques d'analyse des vulnérabilités qui facilitent l'interopérabilité entre les outils et automatisent certaines parties du processus de gestion des vulnérabilités en utilisant des normes pour : 1. L'énumération des plateformes, des failles logicielles et des configurations inappropriées ; 2. Le formatage des listes de contrôle et des procédures de test ; et 3. La mesure de l'impact des vulnérabilités ; c. Analyse les rapports d'analyse des vulnérabilités et les résultats des évaluations de contrôle de la sécurité ; d. Corrige les vulnérabilités légitimes : vulnérabilités à haut risque atténuées dans les trente (30) jours suivant la date de détection ; vulnérabilités à risque modéré atténuées dans les quatre-vingt-dix (90) jours suivant la date de détection ; vulnérabilités à faible risque atténuées dans les cent quatre-vingts (180) jours suivant la date de détection, selon une évaluation des risques menée par l'organisation ; et e. Partage les informations obtenues dans le cadre du processus d'analyse des vulnérabilités et des évaluations de contrôle de la sécurité avec [Attribution : personnel ou rôles définis par l'organisation] pour faciliter l'élimination des vulnérabilités similaires dans d'autres systèmes d'information (c'est-à-dire les faiblesses ou déficiences systémiques). | Amazon vous GuardDuty aide à comprendre l'impact d'un incident en classant les résultats par gravité : faible, moyenne et élevée. Vous pouvez utiliser ces classifications pour déterminer les stratégies et les priorités de correction. Cette règle vous permet de définir éventuellement daysLowSev (Config Default : 30), daysMediumSev (Config Default : 7) et daysHighSev (Config Default : 1) pour les résultats non archivés, comme l'exigent les politiques de votre organisation. | |
| SA-10 | L'organisation exige que le développeur du système d'information, du composant du système ou du service du système d'information : a. Gère la configuration lors du développement, de la mise en œuvre ET de l'exploitation du système, des composants ou des services ; b. Documente, gère et contrôle l'intégrité des modifications apportées à [Attribution : éléments de configuration définis par l'organisation dans le cadre de la gestion de la configuration] ; c. Mette en œuvre uniquement les modifications approuvées par l'organisation dans le système, le composant ou le service ; d. Documente les modifications approuvées apportées au système, au composant ou au service, ainsi que les impacts potentiels de ces modifications sur la sécurité ; et e. Assure le suivi des failles de sécurité et leur résolution au sein du système, du composant ou du service et rende compte des résultats à [Attribution : personnel défini par l'organisation]. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| SA-10 | L'organisation exige que le développeur du système d'information, du composant du système ou du service du système d'information : a. Gère la configuration lors du développement, de la mise en œuvre ET de l'exploitation du système, des composants ou des services ; b. Documente, gère et contrôle l'intégrité des modifications apportées à [Attribution : éléments de configuration définis par l'organisation dans le cadre de la gestion de la configuration] ; c. Mette en œuvre uniquement les modifications approuvées par l'organisation dans le système, le composant ou le service ; d. Documente les modifications approuvées apportées au système, au composant ou au service, ainsi que les impacts potentiels de ces modifications sur la sécurité ; et e. Assure le suivi des failles de sécurité et leur résolution au sein du système, du composant ou du service et rende compte des résultats à [Attribution : personnel défini par l'organisation]. | Amazon vous GuardDuty aide à comprendre l'impact d'un incident en classant les résultats par gravité : faible, moyenne et élevée. Vous pouvez utiliser ces classifications pour déterminer les stratégies et les priorités de correction. Cette règle vous permet de définir éventuellement daysLowSev (Config Default : 30), daysMediumSev (Config Default : 7) et daysHighSev (Config Default : 1) pour les résultats non archivés, comme l'exigent les politiques de votre organisation. | |
| SA-10 | L'organisation exige que le développeur du système d'information, du composant du système ou du service du système d'information : a. Gère la configuration lors du développement, de la mise en œuvre ET de l'exploitation du système, des composants ou des services ; b. Documente, gère et contrôle l'intégrité des modifications apportées à [Attribution : éléments de configuration définis par l'organisation dans le cadre de la gestion de la configuration] ; c. Mette en œuvre uniquement les modifications approuvées par l'organisation dans le système, le composant ou le service ; d. Documente les modifications approuvées apportées au système, au composant ou au service, ainsi que les impacts potentiels de ces modifications sur la sécurité ; et e. Assure le suivi des failles de sécurité et leur résolution au sein du système, du composant ou du service et rende compte des résultats à [Attribution : personnel défini par l'organisation]. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| SA-10 | L'organisation exige que le développeur du système d'information, du composant du système ou du service du système d'information : a. Gère la configuration lors du développement, de la mise en œuvre ET de l'exploitation du système, des composants ou des services ; b. Documente, gère et contrôle l'intégrité des modifications apportées à [Attribution : éléments de configuration définis par l'organisation dans le cadre de la gestion de la configuration] ; c. Mette en œuvre uniquement les modifications approuvées par l'organisation dans le système, le composant ou le service ; d. Documente les modifications approuvées apportées au système, au composant ou au service, ainsi que les impacts potentiels de ces modifications sur la sécurité ; et e. Assure le suivi des failles de sécurité et leur résolution au sein du système, du composant ou du service et rende compte des résultats à [Attribution : personnel défini par l'organisation]. | Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec AWS Systems Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement. | |
| SA-3(a) | L'organisation : a. Gère le système d'information en utilisant [Attribution : cycle de vie du développement du système défini par l'organisation] qui intègre des considérations relatives à la sécurité de l'information. | Assurez-vous que les informations AWS_ACCESS_KEY_ID d'authentification n' AWS_SECRET_ACCESS_KEY existent pas dans les environnements de projet AWS Codebuild. Ne stockez pas ces variables en clair. Le stockage de ces variables en clair entraîne une exposition involontaire des données et un accès non autorisé. | |
| SA-3(a) | L'organisation : a. Gère le système d'information en utilisant [Attribution : cycle de vie du développement du système défini par l'organisation] qui intègre des considérations relatives à la sécurité de l'information. | Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec AWS Systems Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement. | |
| SA-3(a) | L'organisation : a. Gère le système d'information en utilisant [Attribution : cycle de vie du développement du système défini par l'organisation] qui intègre des considérations relatives à la sécurité de l'information. | Assurez-vous que l'URL du référentiel source GitHub ou Bitbucket ne contient pas de jetons d'accès personnels, de nom d'utilisateur et de mot de passe dans les environnements de projet AWS Codebuild. Utilisez OAuth plutôt des jetons d'accès personnels ou un nom d'utilisateur et un mot de passe pour autoriser l'accès aux GitHub référentiels Bitbucket. | |
| SC-12 | L'organisation établit et gère les clés de chiffrement nécessaires au chiffrement employé dans le système d'information conformément à [Attribution : exigences définies par l'organisation pour la génération, la distribution, le stockage, l'accès et la destruction des clés]. | Activez la rotation des clés pour vous assurer que les clés ont fait l'objet d'une rotation une fois la fin de leur période de chiffrement atteinte. | |
| SC-12 | L'organisation établit et gère les clés de chiffrement nécessaires au chiffrement employé dans le système d'information conformément à [Attribution : exigences définies par l'organisation pour la génération, la distribution, le stockage, l'accès et la destruction des clés]. | Assurez-vous que l'intégrité du réseau est protégée en vous assurant que les certificats X509 sont émis par AWS ACM. Ces certificats doivent être valides et non expirés. Cette règle nécessite une valeur pour daysToExpiration (valeur des meilleures pratiques de sécuritéAWS fondamentales : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| SC-12 | L'organisation établit et gère les clés de chiffrement nécessaires au chiffrement employé dans le système d'information conformément à [Attribution : exigences définies par l'organisation pour la génération, la distribution, le stockage, l'accès et la destruction des clés]. | Pour protéger les données inactives, assurez-vous que les clés principales du client (CMKs) nécessaires ne sont pas programmées pour être supprimées dans le service de gestion des AWS clés (AWS KMS). La suppression de clés étant parfois nécessaire, cette règle peut aider à vérifier toutes les clés dont la suppression est prévue, au cas où la suppression d'une clé aurait été planifiée par inadvertance. | |
| SC-13 | Le système d'information met en œuvre un chiffrement validé par les FIPS ou approuvé par la NSA, conformément aux lois fédérales, aux décrets, aux directives, aux politiques, aux règlements et aux normes applicables. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker terminal. Étant donné que les données sensibles peuvent exister au repos sur le SageMaker terminal, activez le chiffrement au repos pour protéger ces données. | |
| SC-13 | Le système d'information met en œuvre un chiffrement validé par les FIPS ou approuvé par la NSA, conformément aux lois fédérales, aux décrets, aux directives, aux politiques, aux règlements et aux normes applicables. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker ordinateur portable. Étant donné que des données sensibles peuvent exister au repos dans le SageMaker bloc-notes, activez le chiffrement au repos pour protéger ces données. | |
| SC-13 | Le système d'information met en œuvre un chiffrement validé par les FIPS ou approuvé par la NSA, conformément aux lois fédérales, aux décrets, aux directives, aux politiques, aux règlements et aux normes applicables. | Pour protéger les données au repos, assurez-vous que vos rubriques Amazon Simple Notification Service (Amazon SNS) nécessitent un chiffrement à l' AWS aide du Key Management Service AWS (KMS). Comme il peut y avoir des données sensibles au repos dans les messages publiés, activez le chiffrement au repos pour protéger ces données. | |
| SC-13 | Le système d'information met en œuvre un chiffrement validé par les FIPS ou approuvé par la NSA, conformément aux lois fédérales, aux décrets, aux directives, aux politiques, aux règlements et aux normes applicables. | Pour protéger les données inactives, assurez-vous que les clés principales du client (CMKs) nécessaires ne sont pas programmées pour être supprimées dans le service de gestion des AWS clés (AWS KMS). La suppression de clés étant parfois nécessaire, cette règle peut aider à vérifier toutes les clés dont la suppression est prévue, au cas où la suppression d'une clé aurait été planifiée par inadvertance. | |
| SC-13 | Le système d'information met en œuvre un chiffrement validé par les FIPS ou approuvé par la NSA, conformément aux lois fédérales, aux décrets, aux directives, aux politiques, aux règlements et aux normes applicables. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre cluster Amazon Redshift. Comme il peut y avoir des données sensibles au repos dans les clusters Redshift, activez le chiffrement au repos pour protéger ces données. | |
| SC-13 | Le système d'information met en œuvre un chiffrement validé par les FIPS ou approuvé par la NSA, conformément aux lois fédérales, aux décrets, aux directives, aux politiques, aux règlements et aux normes applicables. | Assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans un compartiment Amazon S3, activez le chiffrement au repos pour protéger ces données. | |
| SC-2 | Le système d'information sépare les fonctionnalités utilisateur (y compris les services d'interface utilisateur) des fonctionnalités de gestion du système d'information. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur IAM. Placer les utilisateurs IAM dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est un moyen d'intégrer le moindre privilège. | |
| SC-2 | Le système d'information sépare les fonctionnalités utilisateur (y compris les services d'interface utilisateur) des fonctionnalités de gestion du système d'information. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| SC-2 | Le système d'information sépare les fonctionnalités utilisateur (y compris les services d'interface utilisateur) des fonctionnalités de gestion du système d'information. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
| SC-2 | Le système d'information sépare les fonctionnalités utilisateur (y compris les services d'interface utilisateur) des fonctionnalités de gestion du système d'information. | AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès, en veillant à ce que les utilisateurs IAM soient membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| SC-2 | Le système d'information sépare les fonctionnalités utilisateur (y compris les services d'interface utilisateur) des fonctionnalités de gestion du système d'information. | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
| SC-23 | Le système d'information protège l'authenticité des sessions de communication. | Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| SC-23 | Le système d'information protège l'authenticité des sessions de communication. | Assurez-vous que vos Elastic Load Balancers (ELBs) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| SC-23 | Le système d'information protège l'authenticité des sessions de communication. | Assurez-vous que les étapes de l'API REST Amazon API Gateway sont configurées avec des certificats SSL pour permettre aux systèmes backend d'authentifier que les demandes proviennent d'API Gateway. | |
| SC-23 | Le système d'information protège l'authenticité des sessions de communication. | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. Node-to-nodele chiffrement permet le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| SC-23 | Le système d'information protège l'authenticité des sessions de communication. | Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| SC-23 | Le système d'information protège l'authenticité des sessions de communication. | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| SC-28 | Le système d'information protège la confidentialité ET l'intégrité des [Attribution : informations au repos définies par l'organisation]. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour le cache de votre environnement API Gateway. Étant donné que des données sensibles peuvent être capturées pour la méthode API, activez le chiffrement au repos pour protéger ces données. | |
| SC-28 | Le système d'information protège la confidentialité ET l'intégrité des [Attribution : informations au repos définies par l'organisation]. | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le cryptage est activé pour vos AWS CloudTrail pistes. | |
| SC-28 | Le système d'information protège la confidentialité ET l'intégrité des [Attribution : informations au repos définies par l'organisation]. | Pour protéger les données sensibles au repos, assurez-vous que le chiffrement est activé pour vos Amazon CloudWatch Log Groups. | |
| SC-28 | Le système d'information protège la confidentialité ET l'intégrité des [Attribution : informations au repos définies par l'organisation]. | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour votre Amazon Elastic File System (EFS). | |
| SC-28 | Le système d'information protège la confidentialité ET l'intégrité des [Attribution : informations au repos définies par l'organisation]. | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch OpenSearch Service (Service). | |
| SC-28 | Le système d'information protège la confidentialité ET l'intégrité des [Attribution : informations au repos définies par l'organisation]. | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). | |
| SC-28 | Le système d'information protège la confidentialité ET l'intégrité des [Attribution : informations au repos définies par l'organisation]. | Pour protéger les données inactives, assurez-vous que les clés principales du client (CMKs) nécessaires ne sont pas programmées pour être supprimées dans le service de gestion des AWS clés (AWS KMS). La suppression de clés étant parfois nécessaire, cette règle peut aider à vérifier toutes les clés dont la suppression est prévue, au cas où la suppression d'une clé aurait été planifiée par inadvertance. | |
| SC-28 | Le système d'information protège la confidentialité ET l'intégrité des [Attribution : informations au repos définies par l'organisation]. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| SC-28 | Le système d'information protège la confidentialité ET l'intégrité des [Attribution : informations au repos définies par l'organisation]. | Assurez-vous que le verrouillage est activé par défaut dans votre compartiment Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments S3, appliquez le verrouillage d'objet au repos pour protéger ces données. | |
| SC-28 | Le système d'information protège la confidentialité ET l'intégrité des [Attribution : informations au repos définies par l'organisation]. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données. | |
| SC-28 | Le système d'information protège la confidentialité ET l'intégrité des [Attribution : informations au repos définies par l'organisation]. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker terminal. Étant donné que les données sensibles peuvent exister au repos sur le SageMaker terminal, activez le chiffrement au repos pour protéger ces données. | |
| SC-28 | Le système d'information protège la confidentialité ET l'intégrité des [Attribution : informations au repos définies par l'organisation]. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker ordinateur portable. Étant donné que des données sensibles peuvent exister au repos dans le SageMaker bloc-notes, activez le chiffrement au repos pour protéger ces données. | |
| SC-28 | Le système d'information protège la confidentialité ET l'intégrité des [Attribution : informations au repos définies par l'organisation]. | Pour protéger les données au repos, assurez-vous que vos rubriques Amazon Simple Notification Service (Amazon SNS) nécessitent un chiffrement à l' AWS aide du Key Management Service AWS (KMS). Comme il peut y avoir des données sensibles au repos dans les messages publiés, activez le chiffrement au repos pour protéger ces données. | |
| SC-28 | Le système d'information protège la confidentialité ET l'intégrité des [Attribution : informations au repos définies par l'organisation]. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données. | |
| SC-28 | Le système d'information protège la confidentialité ET l'intégrité des [Attribution : informations au repos définies par l'organisation]. | Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données. | |
| SC-28 | Le système d'information protège la confidentialité ET l'intégrité des [Attribution : informations au repos définies par l'organisation]. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos dans les instances Amazon RDS, activez le chiffrement au repos pour protéger ces données. | |
| SC-28 | Le système d'information protège la confidentialité ET l'intégrité des [Attribution : informations au repos définies par l'organisation]. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre cluster Amazon Redshift. Comme il peut y avoir des données sensibles au repos dans les clusters Redshift, activez le chiffrement au repos pour protéger ces données. | |
| SC-28 | Le système d'information protège la confidentialité ET l'intégrité des [Attribution : informations au repos définies par l'organisation]. | Assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans un compartiment Amazon S3, activez le chiffrement au repos pour protéger ces données. | |
| SC-4 | Le système d'information empêche le déplacement d'informations non autorisé et involontaire via des ressources système partagées. | Cette règle garantit que les volumes Amazon Elastic Block Store attachés aux instances Amazon Elastic Compute Cloud (Amazon EC2) sont marqués pour suppression lorsqu'une instance est résiliée. Si un volume Amazon EBS n'est pas supprimé lorsque l'instance à laquelle il est attaché est résiliée, cela peut enfreindre le concept de moindre fonctionnalité. | |
| SC-4 | Le système d'information empêche le déplacement d'informations non autorisé et involontaire via des ressources système partagées. | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| SC-4 | Le système d'information empêche le déplacement d'informations non autorisé et involontaire via des ressources système partagées. | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| SC-4 | Le système d'information empêche le déplacement d'informations non autorisé et involontaire via des ressources système partagées. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
| SC-4 | Le système d'information empêche le déplacement d'informations non autorisé et involontaire via des ressources système partagées. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
| SC-4 | Le système d'information empêche le déplacement d'informations non autorisé et involontaire via des ressources système partagées. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| SC-4 | Le système d'information empêche le déplacement d'informations non autorisé et involontaire via des ressources système partagées. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| SC-4 | Le système d'information empêche le déplacement d'informations non autorisé et involontaire via des ressources système partagées. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| SC-4 | Le système d'information empêche le déplacement d'informations non autorisé et involontaire via des ressources système partagées. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| SC-4 | Le système d'information empêche le déplacement d'informations non autorisé et involontaire via des ressources système partagées. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| SC-4 | Le système d'information empêche le déplacement d'informations non autorisé et involontaire via des ressources système partagées. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| SC-4 | Le système d'information empêche le déplacement d'informations non autorisé et involontaire via des ressources système partagées. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
| SC-4 | Le système d'information empêche le déplacement d'informations non autorisé et involontaire via des ressources système partagées. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
| SC-4 | Le système d'information empêche le déplacement d'informations non autorisé et involontaire via des ressources système partagées. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
| SC-4 | Le système d'information empêche le déplacement d'informations non autorisé et involontaire via des ressources système partagées. | Assurez-vous que les tables de EC2 routage Amazon ne disposent pas de routes illimitées vers une passerelle Internet. La suppression ou la limitation de l'accès à Internet pour les charges de travail au sein d'Amazon VPCs peut réduire les accès involontaires au sein de votre environnement. | |
| SC-4 | Le système d'information empêche le déplacement d'informations non autorisé et involontaire via des ressources système partagées. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
| SC-4 | Le système d'information empêche le déplacement d'informations non autorisé et involontaire via des ressources système partagées. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| SC-4 | Le système d'information empêche le déplacement d'informations non autorisé et involontaire via des ressources système partagées. | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
| SC-5 | Le système d'information se protège contre les types d'attaques par déni de service suivants ou en limite les effets : [Attribution : types d'attaques par déni de service définis par l'organisation ou références aux sources de ces informations] en utilisant [Attribution : mesures de sécurité définies par l'organisation]. | Les tests de santé Elastic Load Balancer (ELB) pour les groupes Amazon Elastic Compute Cloud (Amazon) EC2 Auto Scaling permettent de maintenir une capacité et une disponibilité adéquates. L'équilibreur de charge envoie régulièrement des pings, tente de se connecter ou envoie des demandes pour tester l'état des EC2 instances Amazon dans un groupe d'auto-scaling. Si une instance ne produit pas de rapport, le trafic est envoyé vers une nouvelle EC2 instance Amazon. | |
| SC-5 | Le système d'information se protège contre les types d'attaques par déni de service suivants ou en limite les effets : [Attribution : types d'attaques par déni de service définis par l'organisation ou références aux sources de ces informations] en utilisant [Attribution : mesures de sécurité définies par l'organisation]. | Amazon DynamoDB Auto Scaling AWS utilise le service Application Auto Scaling pour ajuster la capacité de débit allouée afin de répondre automatiquement aux modèles de trafic réels. Cela permet à une table ou à un index secondaire global d'augmenter sa capacité de lecture/d'écriture approvisionnée afin de gérer les hausses soudaines de trafic sans limitation. | |
| SC-5 | Le système d'information se protège contre les types d'attaques par déni de service suivants ou en limite les effets : [Attribution : types d'attaques par déni de service définis par l'organisation ou références aux sources de ces informations] en utilisant [Attribution : mesures de sécurité définies par l'organisation]. | La prise en charge multi-AZ dans Amazon Relational Database Service (Amazon RDS) offre une disponibilité et une durabilité améliorées pour les instances de base de données. Lorsque vous mettez en service une instance de base de données multi-AZ, Amazon RDS crée automatiquement une instance de base de données principale et réplique de manière synchrone les données vers une instance de secours dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé. | |
| SC-5 | Le système d'information se protège contre les types d'attaques par déni de service suivants ou en limite les effets : [Attribution : types d'attaques par déni de service définis par l'organisation ou références aux sources de ces informations] en utilisant [Attribution : mesures de sécurité définies par l'organisation]. | La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données. | |
| SC-5 | Le système d'information se protège contre les types d'attaques par déni de service suivants ou en limite les effets : [Attribution : types d'attaques par déni de service définis par l'organisation ou références aux sources de ces informations] en utilisant [Attribution : mesures de sécurité définies par l'organisation]. | Activez l'équilibrage de charge entre zones pour vos équilibreurs de charge élastiques (ELBs) afin de maintenir une capacité et une disponibilité adéquates. L'équilibrage de charge entre zones réduit la nécessité de maintenir un nombre équivalent d'instances dans chaque zone de disponibilité activée. Cela améliore également la capacité de votre application à gérer la perte d'une ou de plusieurs instances. | |
| SC-5 | Le système d'information se protège contre les types d'attaques par déni de service suivants ou en limite les effets : [Attribution : types d'attaques par déni de service définis par l'organisation ou références aux sources de ces informations] en utilisant [Attribution : mesures de sécurité définies par l'organisation]. | Assurez-vous que la protection contre la suppression est activée sur les instances Amazon Relational Database Service (Amazon RDS). Utilisez la protection contre la suppression pour empêcher la suppression accidentelle ou malveillante des instances Amazon RDS, ce qui pourrait entraîner une perte de disponibilité pour vos applications. | |
| SC-5 | Le système d'information se protège contre les types d'attaques par déni de service suivants ou en limite les effets : [Attribution : types d'attaques par déni de service définis par l'organisation ou références aux sources de ces informations] en utilisant [Attribution : mesures de sécurité définies par l'organisation]. | Cette règle garantit que la protection contre la suppression est activée pour Elastic Load Balancing. Utilisez cette fonctionnalité pour empêcher la suppression accidentelle ou malveillante de votre équilibreur de charge, ce qui pourrait entraîner une perte de disponibilité pour vos applications. | |
| SC-5 | Le système d'information se protège contre les types d'attaques par déni de service suivants ou en limite les effets : [Attribution : types d'attaques par déni de service définis par l'organisation ou références aux sources de ces informations] en utilisant [Attribution : mesures de sécurité définies par l'organisation]. | Des tunnels Site-to-Site VPN redondants peuvent être mis en œuvre pour répondre aux exigences de résilience. Il utilise deux tunnels pour garantir la connectivité au cas où l'une des connexions Site-to-Site VPN deviendrait indisponible. Pour éviter toute perte de connectivité, en cas d'indisponibilité de votre passerelle client, vous pouvez configurer une deuxième connexion Site-to-Site VPN vers votre Amazon Virtual Private Cloud (Amazon VPC) et votre passerelle privée virtuelle en utilisant une deuxième passerelle client. | |
| SC-5 | Le système d'information se protège contre les types d'attaques par déni de service suivants ou en limite les effets : [Attribution : types d'attaques par déni de service définis par l'organisation ou références aux sources de ces informations] en utilisant [Attribution : mesures de sécurité définies par l'organisation]. | Activez cette règle pour vérifier que les informations ont été sauvegardées. Il gère également les sauvegardes en s'assurant que la point-in-time restauration est activée dans Amazon DynamoDB. La récupération permet de maintenir des sauvegardes continues de votre table pour les 35 derniers jours. | |
| SC-5 | Le système d'information se protège contre les types d'attaques par déni de service suivants ou en limite les effets : [Attribution : types d'attaques par déni de service définis par l'organisation ou références aux sources de ces informations] en utilisant [Attribution : mesures de sécurité définies par l'organisation]. | Une instance optimisée dans Amazon Elastic Block Store (Amazon EBS) fournit une capacité supplémentaire dédiée aux opérations d'E/S d'Amazon EBS. Cette optimisation offre les performances les plus efficaces pour vos volumes EBS en minimisant les conflits entre les opérations d'E/S d'Amazon EBS et le trafic restant de votre instance. | |
| SC-5 | Le système d'information se protège contre les types d'attaques par déni de service suivants ou en limite les effets : [Attribution : types d'attaques par déni de service définis par l'organisation ou références aux sources de ces informations] en utilisant [Attribution : mesures de sécurité définies par l'organisation]. | elasticache-redis-cluster-automatic-vérification des sauvegardes |
Lorsque les sauvegardes automatiques sont activées, Amazon ElastiCache crée une sauvegarde du cluster quotidiennement. La sauvegarde peut être conservée pendant un nombre de jours défini par votre organisation. Les sauvegardes automatiques peuvent constituer une protection contre la perte de données. En cas de défaillance, vous pouvez créer un nouveau cluster, ce qui restaurera vos données à partir de la sauvegarde la plus récente. |
| SC-5 | Le système d'information se protège contre les types d'attaques par déni de service suivants ou en limite les effets : [Attribution : types d'attaques par déni de service définis par l'organisation ou références aux sources de ces informations] en utilisant [Attribution : mesures de sécurité définies par l'organisation]. | La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative. | |
| SC-5 | Le système d'information se protège contre les types d'attaques par déni de service suivants ou en limite les effets : [Attribution : types d'attaques par déni de service définis par l'organisation ou références aux sources de ces informations] en utilisant [Attribution : mesures de sécurité définies par l'organisation]. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| SC-7 | Le système d'information : a. Surveille et contrôle les communications aux limites externes du système et aux limites internes clés du système ; b. Implémente des sous-réseaux pour les composants du système accessibles au public qui sont [Sélection : physiquement ; logiquement] séparés des réseaux organisationnels internes ; et c. Se connecte à des réseaux ou à des systèmes d'information externes uniquement par l'intermédiaire d'interfaces gérées constituées de dispositifs de protection des limites organisés conformément à une architecture de sécurité organisationnelle. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur le Web ACLs régional et mondial. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait. | |
| SC-7 | Le système d'information : a. Surveille et contrôle les communications aux limites externes du système et aux limites internes clés du système ; b. Implémente des sous-réseaux pour les composants du système accessibles au public qui sont [Sélection : physiquement ; logiquement] séparés des réseaux organisationnels internes ; et c. Se connecte à des réseaux ou à des systèmes d'information externes uniquement par l'intermédiaire d'interfaces gérées constituées de dispositifs de protection des limites organisés conformément à une architecture de sécurité organisationnelle. | Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et d'autres services au sein d'Amazon VPC, sans avoir besoin de passerelle Internet, d'appareil NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez EC2 des instances Amazon à un Amazon VPC pour gérer correctement l'accès. | |
| SC-7 | Le système d'information : a. Surveille et contrôle les communications aux limites externes du système et aux limites internes clés du système ; b. Implémente des sous-réseaux pour les composants du système accessibles au public qui sont [Sélection : physiquement ; logiquement] séparés des réseaux organisationnels internes ; et c. Se connecte à des réseaux ou à des systèmes d'information externes uniquement par l'intermédiaire d'interfaces gérées constituées de dispositifs de protection des limites organisés conformément à une architecture de sécurité organisationnelle. | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| SC-7 | Le système d'information : a. Surveille et contrôle les communications aux limites externes du système et aux limites internes clés du système ; b. Implémente des sous-réseaux pour les composants du système accessibles au public qui sont [Sélection : physiquement ; logiquement] séparés des réseaux organisationnels internes ; et c. Se connecte à des réseaux ou à des systèmes d'information externes uniquement par l'intermédiaire d'interfaces gérées constituées de dispositifs de protection des limites organisés conformément à une architecture de sécurité organisationnelle. | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| SC-7 | Le système d'information : a. Surveille et contrôle les communications aux limites externes du système et aux limites internes clés du système ; b. Implémente des sous-réseaux pour les composants du système accessibles au public qui sont [Sélection : physiquement ; logiquement] séparés des réseaux organisationnels internes ; et c. Se connecte à des réseaux ou à des systèmes d'information externes uniquement par l'intermédiaire d'interfaces gérées constituées de dispositifs de protection des limites organisés conformément à une architecture de sécurité organisationnelle. | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les EC2 instances Amazon peuvent contenir des informations sensibles et un contrôle d'accès est requis pour ces comptes. | |
| SC-7 | Le système d'information : a. Surveille et contrôle les communications aux limites externes du système et aux limites internes clés du système ; b. Implémente des sous-réseaux pour les composants du système accessibles au public qui sont [Sélection : physiquement ; logiquement] séparés des réseaux organisationnels internes ; et c. Se connecte à des réseaux ou à des systèmes d'information externes uniquement par l'intermédiaire d'interfaces gérées constituées de dispositifs de protection des limites organisés conformément à une architecture de sécurité organisationnelle. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
| SC-7 | Le système d'information : a. Surveille et contrôle les communications aux limites externes du système et aux limites internes clés du système ; b. Implémente des sous-réseaux pour les composants du système accessibles au public qui sont [Sélection : physiquement ; logiquement] séparés des réseaux organisationnels internes ; et c. Se connecte à des réseaux ou à des systèmes d'information externes uniquement par l'intermédiaire d'interfaces gérées constituées de dispositifs de protection des limites organisés conformément à une architecture de sécurité organisationnelle. | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| SC-7 | Le système d'information : a. Surveille et contrôle les communications aux limites externes du système et aux limites internes clés du système ; b. Implémente des sous-réseaux pour les composants du système accessibles au public qui sont [Sélection : physiquement ; logiquement] séparés des réseaux organisationnels internes ; et c. Se connecte à des réseaux ou à des systèmes d'information externes uniquement par l'intermédiaire d'interfaces gérées constituées de dispositifs de protection des limites organisés conformément à une architecture de sécurité organisationnelle. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
| SC-7 | Le système d'information : a. Surveille et contrôle les communications aux limites externes du système et aux limites internes clés du système ; b. Implémente des sous-réseaux pour les composants du système accessibles au public qui sont [Sélection : physiquement ; logiquement] séparés des réseaux organisationnels internes ; et c. Se connecte à des réseaux ou à des systèmes d'information externes uniquement par l'intermédiaire d'interfaces gérées constituées de dispositifs de protection des limites organisés conformément à une architecture de sécurité organisationnelle. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
| SC-7 | Le système d'information : a. Surveille et contrôle les communications aux limites externes du système et aux limites internes clés du système ; b. Implémente des sous-réseaux pour les composants du système accessibles au public qui sont [Sélection : physiquement ; logiquement] séparés des réseaux organisationnels internes ; et c. Se connecte à des réseaux ou à des systèmes d'information externes uniquement par l'intermédiaire d'interfaces gérées constituées de dispositifs de protection des limites organisés conformément à une architecture de sécurité organisationnelle. | Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC. | |
| SC-7 | Le système d'information : a. Surveille et contrôle les communications aux limites externes du système et aux limites internes clés du système ; b. Implémente des sous-réseaux pour les composants du système accessibles au public qui sont [Sélection : physiquement ; logiquement] séparés des réseaux organisationnels internes ; et c. Se connecte à des réseaux ou à des systèmes d'information externes uniquement par l'intermédiaire d'interfaces gérées constituées de dispositifs de protection des limites organisés conformément à une architecture de sécurité organisationnelle. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| SC-7 | Le système d'information : a. Surveille et contrôle les communications aux limites externes du système et aux limites internes clés du système ; b. Implémente des sous-réseaux pour les composants du système accessibles au public qui sont [Sélection : physiquement ; logiquement] séparés des réseaux organisationnels internes ; et c. Se connecte à des réseaux ou à des systèmes d'information externes uniquement par l'intermédiaire d'interfaces gérées constituées de dispositifs de protection des limites organisés conformément à une architecture de sécurité organisationnelle. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| SC-7 | Le système d'information : a. Surveille et contrôle les communications aux limites externes du système et aux limites internes clés du système ; b. Implémente des sous-réseaux pour les composants du système accessibles au public qui sont [Sélection : physiquement ; logiquement] séparés des réseaux organisationnels internes ; et c. Se connecte à des réseaux ou à des systèmes d'information externes uniquement par l'intermédiaire d'interfaces gérées constituées de dispositifs de protection des limites organisés conformément à une architecture de sécurité organisationnelle. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| SC-7 | Le système d'information : a. Surveille et contrôle les communications aux limites externes du système et aux limites internes clés du système ; b. Implémente des sous-réseaux pour les composants du système accessibles au public qui sont [Sélection : physiquement ; logiquement] séparés des réseaux organisationnels internes ; et c. Se connecte à des réseaux ou à des systèmes d'information externes uniquement par l'intermédiaire d'interfaces gérées constituées de dispositifs de protection des limites organisés conformément à une architecture de sécurité organisationnelle. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| SC-7 | Le système d'information : a. Surveille et contrôle les communications aux limites externes du système et aux limites internes clés du système ; b. Implémente des sous-réseaux pour les composants du système accessibles au public qui sont [Sélection : physiquement ; logiquement] séparés des réseaux organisationnels internes ; et c. Se connecte à des réseaux ou à des systèmes d'information externes uniquement par l'intermédiaire d'interfaces gérées constituées de dispositifs de protection des limites organisés conformément à une architecture de sécurité organisationnelle. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| SC-7 | Le système d'information : a. Surveille et contrôle les communications aux limites externes du système et aux limites internes clés du système ; b. Implémente des sous-réseaux pour les composants du système accessibles au public qui sont [Sélection : physiquement ; logiquement] séparés des réseaux organisationnels internes ; et c. Se connecte à des réseaux ou à des systèmes d'information externes uniquement par l'intermédiaire d'interfaces gérées constituées de dispositifs de protection des limites organisés conformément à une architecture de sécurité organisationnelle. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| SC-7 | Le système d'information : a. Surveille et contrôle les communications aux limites externes du système et aux limites internes clés du système ; b. Implémente des sous-réseaux pour les composants du système accessibles au public qui sont [Sélection : physiquement ; logiquement] séparés des réseaux organisationnels internes ; et c. Se connecte à des réseaux ou à des systèmes d'information externes uniquement par l'intermédiaire d'interfaces gérées constituées de dispositifs de protection des limites organisés conformément à une architecture de sécurité organisationnelle. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
| SC-7 | Le système d'information : a. Surveille et contrôle les communications aux limites externes du système et aux limites internes clés du système ; b. Implémente des sous-réseaux pour les composants du système accessibles au public qui sont [Sélection : physiquement ; logiquement] séparés des réseaux organisationnels internes ; et c. Se connecte à des réseaux ou à des systèmes d'information externes uniquement par l'intermédiaire d'interfaces gérées constituées de dispositifs de protection des limites organisés conformément à une architecture de sécurité organisationnelle. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
| SC-7 | Le système d'information : a. Surveille et contrôle les communications aux limites externes du système et aux limites internes clés du système ; b. Implémente des sous-réseaux pour les composants du système accessibles au public qui sont [Sélection : physiquement ; logiquement] séparés des réseaux organisationnels internes ; et c. Se connecte à des réseaux ou à des systèmes d'information externes uniquement par l'intermédiaire d'interfaces gérées constituées de dispositifs de protection des limites organisés conformément à une architecture de sécurité organisationnelle. | Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| SC-7 | Le système d'information : a. Surveille et contrôle les communications aux limites externes du système et aux limites internes clés du système ; b. Implémente des sous-réseaux pour les composants du système accessibles au public qui sont [Sélection : physiquement ; logiquement] séparés des réseaux organisationnels internes ; et c. Se connecte à des réseaux ou à des systèmes d'information externes uniquement par l'intermédiaire d'interfaces gérées constituées de dispositifs de protection des limites organisés conformément à une architecture de sécurité organisationnelle. | Assurez-vous que vos Elastic Load Balancers (ELBs) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| SC-7 | Le système d'information : a. Surveille et contrôle les communications aux limites externes du système et aux limites internes clés du système ; b. Implémente des sous-réseaux pour les composants du système accessibles au public qui sont [Sélection : physiquement ; logiquement] séparés des réseaux organisationnels internes ; et c. Se connecte à des réseaux ou à des systèmes d'information externes uniquement par l'intermédiaire d'interfaces gérées constituées de dispositifs de protection des limites organisés conformément à une architecture de sécurité organisationnelle. | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| SC-7 | Le système d'information : a. Surveille et contrôle les communications aux limites externes du système et aux limites internes clés du système ; b. Implémente des sous-réseaux pour les composants du système accessibles au public qui sont [Sélection : physiquement ; logiquement] séparés des réseaux organisationnels internes ; et c. Se connecte à des réseaux ou à des systèmes d'information externes uniquement par l'intermédiaire d'interfaces gérées constituées de dispositifs de protection des limites organisés conformément à une architecture de sécurité organisationnelle. | Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| SC-7 | Le système d'information : a. Surveille et contrôle les communications aux limites externes du système et aux limites internes clés du système ; b. Implémente des sous-réseaux pour les composants du système accessibles au public qui sont [Sélection : physiquement ; logiquement] séparés des réseaux organisationnels internes ; et c. Se connecte à des réseaux ou à des systèmes d'information externes uniquement par l'intermédiaire d'interfaces gérées constituées de dispositifs de protection des limites organisés conformément à une architecture de sécurité organisationnelle. | Assurez-vous que AWS le WAF est activé sur les Elastic Load Balancers (ELB) pour protéger les applications Web. Un WAF permet de protéger vos applications Web ou APIs contre les exploits Web courants. Ces attaques Web peuvent affecter la disponibilité, compromettre la sécurité ou consommer des ressources excessives dans votre environnement. | |
| SC-7 | Le système d'information : a. Surveille et contrôle les communications aux limites externes du système et aux limites internes clés du système ; b. Implémente des sous-réseaux pour les composants du système accessibles au public qui sont [Sélection : physiquement ; logiquement] séparés des réseaux organisationnels internes ; et c. Se connecte à des réseaux ou à des systèmes d'information externes uniquement par l'intermédiaire d'interfaces gérées constituées de dispositifs de protection des limites organisés conformément à une architecture de sécurité organisationnelle. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
| SC-7 | Le système d'information : a. Surveille et contrôle les communications aux limites externes du système et aux limites internes clés du système ; b. Implémente des sous-réseaux pour les composants du système accessibles au public qui sont [Sélection : physiquement ; logiquement] séparés des réseaux organisationnels internes ; et c. Se connecte à des réseaux ou à des systèmes d'information externes uniquement par l'intermédiaire d'interfaces gérées constituées de dispositifs de protection des limites organisés conformément à une architecture de sécurité organisationnelle. | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. Node-to-nodele chiffrement permet le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| SC-7 | Le système d'information : a. Surveille et contrôle les communications aux limites externes du système et aux limites internes clés du système ; b. Implémente des sous-réseaux pour les composants du système accessibles au public qui sont [Sélection : physiquement ; logiquement] séparés des réseaux organisationnels internes ; et c. Se connecte à des réseaux ou à des systèmes d'information externes uniquement par l'intermédiaire d'interfaces gérées constituées de dispositifs de protection des limites organisés conformément à une architecture de sécurité organisationnelle. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| SC-7 | Le système d'information : a. Surveille et contrôle les communications aux limites externes du système et aux limites internes clés du système ; b. Implémente des sous-réseaux pour les composants du système accessibles au public qui sont [Sélection : physiquement ; logiquement] séparés des réseaux organisationnels internes ; et c. Se connecte à des réseaux ou à des systèmes d'information externes uniquement par l'intermédiaire d'interfaces gérées constituées de dispositifs de protection des limites organisés conformément à une architecture de sécurité organisationnelle. | Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux sur lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale. | |
| SC-7 | Le système d'information : a. Surveille et contrôle les communications aux limites externes du système et aux limites internes clés du système ; b. Implémente des sous-réseaux pour les composants du système accessibles au public qui sont [Sélection : physiquement ; logiquement] séparés des réseaux organisationnels internes ; et c. Se connecte à des réseaux ou à des systèmes d'information externes uniquement par l'intermédiaire d'interfaces gérées constituées de dispositifs de protection des limites organisés conformément à une architecture de sécurité organisationnelle. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
| SC-7(3) | L'organisation limite le nombre de connexions réseau externes au système d'information. | Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et d'autres services au sein d'Amazon VPC, sans avoir besoin de passerelle Internet, d'appareil NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez EC2 des instances Amazon à un Amazon VPC pour gérer correctement l'accès. | |
| SC-7(3) | L'organisation limite le nombre de connexions réseau externes au système d'information. | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| SC-7(3) | L'organisation limite le nombre de connexions réseau externes au système d'information. | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| SC-7(3) | L'organisation limite le nombre de connexions réseau externes au système d'information. | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les EC2 instances Amazon peuvent contenir des informations sensibles et un contrôle d'accès est requis pour ces comptes. | |
| SC-7(3) | L'organisation limite le nombre de connexions réseau externes au système d'information. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
| SC-7(3) | L'organisation limite le nombre de connexions réseau externes au système d'information. | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| SC-7(3) | L'organisation limite le nombre de connexions réseau externes au système d'information. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
| SC-7(3) | L'organisation limite le nombre de connexions réseau externes au système d'information. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
| SC-7(3) | L'organisation limite le nombre de connexions réseau externes au système d'information. | Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC. | |
| SC-7(3) | L'organisation limite le nombre de connexions réseau externes au système d'information. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| SC-7(3) | L'organisation limite le nombre de connexions réseau externes au système d'information. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| SC-7(3) | L'organisation limite le nombre de connexions réseau externes au système d'information. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| SC-7(3) | L'organisation limite le nombre de connexions réseau externes au système d'information. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| SC-7(3) | L'organisation limite le nombre de connexions réseau externes au système d'information. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| SC-7(3) | L'organisation limite le nombre de connexions réseau externes au système d'information. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| SC-7(3) | L'organisation limite le nombre de connexions réseau externes au système d'information. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
| SC-7(3) | L'organisation limite le nombre de connexions réseau externes au système d'information. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
| SC-7(3) | L'organisation limite le nombre de connexions réseau externes au système d'information. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
| SC-7(3) | L'organisation limite le nombre de connexions réseau externes au système d'information. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| SC-7(3) | L'organisation limite le nombre de connexions réseau externes au système d'information. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
| SC-7(3) | L'organisation limite le nombre de connexions réseau externes au système d'information. | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
| SC-7(3) | L'organisation limite le nombre de connexions réseau externes au système d'information. | Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux sur lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale. | |
| SC-7(3) | L'organisation limite le nombre de connexions réseau externes au système d'information. | Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. EC2 les ressources ne doivent pas être accessibles au public, car cela peut permettre un accès involontaire à vos applications ou à vos serveurs. | |
| SC-8 | Le système d'information protège la confidentialité ET l'intégrité des informations transmises. | Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| SC-8 | Le système d'information protège la confidentialité ET l'intégrité des informations transmises. | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. Node-to-nodele chiffrement permet le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| SC-8 | Le système d'information protège la confidentialité ET l'intégrité des informations transmises. | Assurez-vous que vos Elastic Load Balancers (ELBs) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| SC-8 | Le système d'information protège la confidentialité ET l'intégrité des informations transmises. | Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| SC-8 | Le système d'information protège la confidentialité ET l'intégrité des informations transmises. | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| SC-8 | Le système d'information protège la confidentialité ET l'intégrité des informations transmises. | Assurez-vous que les étapes de l'API REST Amazon API Gateway sont configurées avec des certificats SSL pour permettre aux systèmes backend d'authentifier que les demandes proviennent d'API Gateway. | |
| SC-8(1) | Le système d'information met en œuvre des mécanismes de chiffrement pour [Sélection (un ou plusieurs) : empêcher la divulgation non autorisée d'informations ; détecter les modifications apportées aux informations] pendant la transmission, à moins qu'il ne soit protégé par [Attribution : autres mesures de protection physique définies par l'organisation]. | Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| SC-8(1) | Le système d'information met en œuvre des mécanismes de chiffrement pour [Sélection (un ou plusieurs) : empêcher la divulgation non autorisée d'informations ; détecter les modifications apportées aux informations] pendant la transmission, à moins qu'il ne soit protégé par [Attribution : autres mesures de protection physique définies par l'organisation]. | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. Node-to-nodele chiffrement permet le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| SC-8(1) | Le système d'information met en œuvre des mécanismes de chiffrement pour [Sélection (un ou plusieurs) : empêcher la divulgation non autorisée d'informations ; détecter les modifications apportées aux informations] pendant la transmission, à moins qu'il ne soit protégé par [Attribution : autres mesures de protection physique définies par l'organisation]. | Assurez-vous que vos Elastic Load Balancers (ELBs) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| SC-8(1) | Le système d'information met en œuvre des mécanismes de chiffrement pour [Sélection (un ou plusieurs) : empêcher la divulgation non autorisée d'informations ; détecter les modifications apportées aux informations] pendant la transmission, à moins qu'il ne soit protégé par [Attribution : autres mesures de protection physique définies par l'organisation]. | Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| SC-8(1) | Le système d'information met en œuvre des mécanismes de chiffrement pour [Sélection (un ou plusieurs) : empêcher la divulgation non autorisée d'informations ; détecter les modifications apportées aux informations] pendant la transmission, à moins qu'il ne soit protégé par [Attribution : autres mesures de protection physique définies par l'organisation]. | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| SC-8(1) | Le système d'information met en œuvre des mécanismes de chiffrement pour [Sélection (un ou plusieurs) : empêcher la divulgation non autorisée d'informations ; détecter les modifications apportées aux informations] pendant la transmission, à moins qu'il ne soit protégé par [Attribution : autres mesures de protection physique définies par l'organisation]. | Assurez-vous que les étapes de l'API REST Amazon API Gateway sont configurées avec des certificats SSL pour permettre aux systèmes backend d'authentifier que les demandes proviennent d'API Gateway. | |
| SI-12 | L'organisation traite et conserve les informations contenues dans le système d'information et les informations produites par le système conformément aux lois fédérales, aux décrets, aux directives, aux politiques, aux règlements, aux normes et aux exigences opérationnelles applicables. | La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative. | |
| SI-12 | L'organisation traite et conserve les informations contenues dans le système d'information et les informations produites par le système conformément aux lois fédérales, aux décrets, aux directives, aux politiques, aux règlements, aux normes et aux exigences opérationnelles applicables. | La fonctionnalité de sauvegarde d'Amazon RDS crée des sauvegardes de vos bases de données et de vos journaux de transactions. Amazon RDS crée automatiquement un instantané du volume de stockage de votre instance de base de données, en sauvegardant l'intégralité de cette dernière. Le système vous permet de définir des périodes de conservation spécifiques pour répondre à vos exigences de résilience. | |
| SI-12 | L'organisation traite et conserve les informations contenues dans le système d'information et les informations produites par le système conformément aux lois fédérales, aux décrets, aux directives, aux politiques, aux règlements, aux normes et aux exigences opérationnelles applicables. | Activez cette règle pour vérifier que les informations ont été sauvegardées. Il gère également les sauvegardes en s'assurant que la point-in-time restauration est activée dans Amazon DynamoDB. La récupération permet de maintenir des sauvegardes continues de votre table pour les 35 derniers jours. | |
| SI-12 | L'organisation traite et conserve les informations contenues dans le système d'information et les informations produites par le système conformément aux lois fédérales, aux décrets, aux directives, aux politiques, aux règlements, aux normes et aux exigences opérationnelles applicables. | elasticache-redis-cluster-automatic-vérification des sauvegardes |
Lorsque les sauvegardes automatiques sont activées, Amazon ElastiCache crée une sauvegarde du cluster quotidiennement. La sauvegarde peut être conservée pendant un nombre de jours défini par votre organisation. Les sauvegardes automatiques peuvent constituer une protection contre la perte de données. En cas de défaillance, vous pouvez créer un nouveau cluster, ce qui restaurera vos données à partir de la sauvegarde la plus récente. |
| SI-12 | L'organisation traite et conserve les informations contenues dans le système d'information et les informations produites par le système conformément aux lois fédérales, aux décrets, aux directives, aux politiques, aux règlements, aux normes et aux exigences opérationnelles applicables. | Assurez-vous que la durée minimale de conservation des données des journaux d'événements pour vos groupes de journaux est suffisante pour faciliter le dépannage et les enquêtes judiciaires. Le manque de données disponibles dans les journaux d'événements passés complique la reconstitution et l'identification des événements potentiellement malveillants. | |
| SI-12 | L'organisation traite et conserve les informations contenues dans le système d'information et les informations produites par le système conformément aux lois fédérales, aux décrets, aux directives, aux politiques, aux règlements, aux normes et aux exigences opérationnelles applicables. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos clusters Amazon Redshift disposent d'instantanés automatisés. Lorsque les instantanés automatiques sont activés pour un cluster, Redshift prend régulièrement des instantanés de ce cluster. Par défaut, Redshift prend un instantané toutes les 8 heures ou tous les 5 Go par nœud de modifications de données, selon la première de ces deux éventualités. | |
| SI-12 | L'organisation traite et conserve les informations contenues dans le système d'information et les informations produites par le système conformément aux lois fédérales, aux décrets, aux directives, aux politiques, aux règlements, aux normes et aux exigences opérationnelles applicables. | Pour faciliter les processus de sauvegarde des données, assurez-vous que votre plan AWS de sauvegarde est défini pour une fréquence et une rétention minimales. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Cette règle vous permet de définir les paramètres requiredFrequencyValue (Config par défaut : 1), requiredRetentionDays (Config par défaut : 35) et requiredFrequencyUnit (Config par défaut : jours). La valeur réelle doit refléter les exigences de votre organisation. | |
| SI-12 | L'organisation traite et conserve les informations contenues dans le système d'information et les informations produites par le système conformément aux lois fédérales, aux décrets, aux directives, aux politiques, aux règlements, aux normes et aux exigences opérationnelles applicables. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de FSx fichiers Amazon font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| SI-12 | L'organisation traite et conserve les informations contenues dans le système d'information et les informations produites par le système conformément aux lois fédérales, aux décrets, aux directives, aux politiques, aux règlements, aux normes et aux exigences opérationnelles applicables. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Elastic Compute Cloud (Amazon EC2) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| SI-12 | L'organisation traite et conserve les informations contenues dans le système d'information et les informations produites par le système conformément aux lois fédérales, aux décrets, aux directives, aux politiques, aux règlements, aux normes et aux exigences opérationnelles applicables. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Aurora font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| SI-12 | L'organisation traite et conserve les informations contenues dans le système d'information et les informations produites par le système conformément aux lois fédérales, aux décrets, aux directives, aux politiques, aux règlements, aux normes et aux exigences opérationnelles applicables. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon DynamoDB font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| SI-12 | L'organisation traite et conserve les informations contenues dans le système d'information et les informations produites par le système conformément aux lois fédérales, aux décrets, aux directives, aux politiques, aux règlements, aux normes et aux exigences opérationnelles applicables. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Elastic Block Store (Amazon EBS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| SI-12 | L'organisation traite et conserve les informations contenues dans le système d'information et les informations produites par le système conformément aux lois fédérales, aux décrets, aux directives, aux politiques, aux règlements, aux normes et aux exigences opérationnelles applicables. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon Elastic File System (Amazon EFS) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| SI-12 | L'organisation traite et conserve les informations contenues dans le système d'information et les informations produites par le système conformément aux lois fédérales, aux décrets, aux directives, aux politiques, aux règlements, aux normes et aux exigences opérationnelles applicables. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Relational Database Service (Amazon RDS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| SI-2(2) | L'organisation utilise des mécanismes automatisés au moins une fois par mois pour déterminer l'état des composants du système d'information en ce qui concerne la correction des failles. | Activez cette règle pour faciliter l'identification et la documentation des vulnérabilités d'Amazon Elastic Compute Cloud (Amazon EC2). La règle vérifie si les correctifs d' EC2 instance Amazon sont conformes dans AWS Systems Manager conformément aux politiques et procédures de votre entreprise. | |
| SI-2(2) | L'organisation utilise des mécanismes automatisés au moins une fois par mois pour déterminer l'état des composants du système d'information en ce qui concerne la correction des failles. | Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec AWS Systems Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement. | |
| SI-2(2) | L'organisation utilise des mécanismes automatisés au moins une fois par mois pour déterminer l'état des composants du système d'information en ce qui concerne la correction des failles. | Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des niveaux de référence pour les niveaux de correctifs du système d'exploitation, les installations de logiciels, les configurations d'applications et d'autres informations relatives à votre environnement. | |
| SI-2(2) | L'organisation utilise des mécanismes automatisés au moins une fois par mois pour déterminer l'état des composants du système d'information en ce qui concerne la correction des failles. | L'activation des mises à jour de plateforme gérées pour un environnement Amazon Elastic Beanstalk garantit l'installation des derniers correctifs, mises à jour et fonctionnalités de la plateforme disponibles pour l'environnement. La sécurisation des systèmes passe par la mise à jour de l'installation des correctifs. | |
| SI-4(1) | L'organisation connecte et configure des outils individuels de détection d'intrusion dans un système de détection d'intrusion à l'échelle du système d'information. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| SI-4(16) | L'organisation met en corrélation les informations issues des outils de surveillance utilisés dans l'ensemble du système d'information. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| SI-4(16) | L'organisation met en corrélation les informations issues des outils de surveillance utilisés dans l'ensemble du système d'information. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| SI-4(16) | L'organisation met en corrélation les informations issues des outils de surveillance utilisés dans l'ensemble du système d'information. | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du AWS compte qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
| SI-4(16) | L'organisation met en corrélation les informations issues des outils de surveillance utilisés dans l'ensemble du système d'information. | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
| SI-4(16) | L'organisation met en corrélation les informations issues des outils de surveillance utilisés dans l'ensemble du système d'information. | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les AWS comptes qui ont appelé un AWS service, l'adresse IP source à partir de laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
| SI-4(16) | L'organisation met en corrélation les informations issues des outils de surveillance utilisés dans l'ensemble du système d'information. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| SI-4(2) | L'organisation utilise des outils automatisés pour analyser les événements en temps quasi réel. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| SI-4(2) | L'organisation utilise des outils automatisés pour analyser les événements en temps quasi réel. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| SI-4(2) | L'organisation utilise des outils automatisés pour analyser les événements en temps quasi réel. | Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement. | |
| SI-4(2) | L'organisation utilise des outils automatisés pour analyser les événements en temps quasi réel. | Activez cette règle pour améliorer la surveillance des instances Amazon Elastic Compute Cloud (Amazon EC2) sur la EC2 console Amazon, qui affiche des graphiques de surveillance avec une période d'une minute pour l'instance. | |
| SI-4(2) | L'organisation utilise des outils automatisés pour analyser les événements en temps quasi réel. | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
| SI-4(2) | L'organisation utilise des outils automatisés pour analyser les événements en temps quasi réel. | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les AWS comptes qui ont appelé un AWS service, l'adresse IP source à partir de laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
| SI-4(2) | L'organisation utilise des outils automatisés pour analyser les événements en temps quasi réel. | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du AWS compte qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
| SI-4(2) | L'organisation utilise des outils automatisés pour analyser les événements en temps quasi réel. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| SI-4(4) | Le système d'information surveille constamment le trafic de communications entrant et sortant pour détecter des activités ou des circonstances inhabituelles ou non autorisées. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| SI-4(4) | Le système d'information surveille constamment le trafic de communications entrant et sortant pour détecter des activités ou des circonstances inhabituelles ou non autorisées. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| SI-4(4) | Le système d'information surveille constamment le trafic de communications entrant et sortant pour détecter des activités ou des circonstances inhabituelles ou non autorisées. | Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement. | |
| SI-4(4) | Le système d'information surveille constamment le trafic de communications entrant et sortant pour détecter des activités ou des circonstances inhabituelles ou non autorisées. | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des informations détaillées sur l'activité des appels d'API au sein de votre AWS compte. | |
| SI-4(5) | Le système d'information alerte [Attribution : personnel ou rôles définis par l'organisation] lorsque les indications suivantes de compromission ou de compromission potentielle se produisent : [Attribution : indicateurs de compromission définis par l'organisation]. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| SI-4(5) | Le système d'information alerte [Attribution : personnel ou rôles définis par l'organisation] lorsque les indications suivantes de compromission ou de compromission potentielle se produisent : [Attribution : indicateurs de compromission définis par l'organisation]. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| SI-4(5) | Le système d'information alerte [Attribution : personnel ou rôles définis par l'organisation] lorsque les indications suivantes de compromission ou de compromission potentielle se produisent : [Attribution : indicateurs de compromission définis par l'organisation]. | Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement. | |
| SI-4(5) | Le système d'information alerte [Attribution : personnel ou rôles définis par l'organisation] lorsque les indications suivantes de compromission ou de compromission potentielle se produisent : [Attribution : indicateurs de compromission définis par l'organisation]. | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des informations détaillées sur l'activité des appels d'API au sein de votre AWS compte. | |
| SI-4(a)(b)(c) | L'organisation : a. Surveille le système d'information pour détecter : 1. Attaques et indicateurs d'attaques potentielles conformément à [Attribution : objectifs de surveillance définis par l'organisation] ; et 2. Connexions locales, réseau et distantes non autorisées ; b. Identifie l'utilisation non autorisée du système d'information en utilisant [Attribution : techniques et méthodes définies par l'organisation] ; c. Déploie des dispositifs de contrôle : i) à des endroits stratégiques du système d'information pour recueillir des informations essentielles déterminées par l'organisation ; et ii) à des endroits ponctuels du système pour suivre des types spécifiques de transactions présentant un intérêt pour l'organisation. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| SI-4(a)(b)(c) | L'organisation : a. Surveille le système d'information pour détecter : 1. Attaques et indicateurs d'attaques potentielles conformément à [Attribution : objectifs de surveillance définis par l'organisation] ; et 2. Connexions locales, réseau et distantes non autorisées ; b. Identifie l'utilisation non autorisée du système d'information en utilisant [Attribution : techniques et méthodes définies par l'organisation] ; c. Déploie des dispositifs de contrôle : i) à des endroits stratégiques du système d'information pour recueillir des informations essentielles déterminées par l'organisation ; et ii) à des endroits ponctuels du système pour suivre des types spécifiques de transactions présentant un intérêt pour l'organisation. | Amazon vous GuardDuty aide à comprendre l'impact d'un incident en classant les résultats par gravité : faible, moyenne et élevée. Vous pouvez utiliser ces classifications pour déterminer les stratégies et les priorités de correction. Cette règle vous permet de définir éventuellement daysLowSev (Config Default : 30), daysMediumSev (Config Default : 7) et daysHighSev (Config Default : 1) pour les résultats non archivés, comme l'exigent les politiques de votre organisation. | |
| SI-4(a)(b)(c) | L'organisation : a. Surveille le système d'information pour détecter : 1. Attaques et indicateurs d'attaques potentielles conformément à [Attribution : objectifs de surveillance définis par l'organisation] ; et 2. Connexions locales, réseau et distantes non autorisées ; b. Identifie l'utilisation non autorisée du système d'information en utilisant [Attribution : techniques et méthodes définies par l'organisation] ; c. Déploie des dispositifs de contrôle : i) à des endroits stratégiques du système d'information pour recueillir des informations essentielles déterminées par l'organisation ; et ii) à des endroits ponctuels du système pour suivre des types spécifiques de transactions présentant un intérêt pour l'organisation. | Assurez-vous que AWS le WAF est activé sur les Elastic Load Balancers (ELB) pour protéger les applications Web. Un WAF permet de protéger vos applications Web ou APIs contre les exploits Web courants. Ces attaques Web peuvent affecter la disponibilité, compromettre la sécurité ou consommer des ressources excessives dans votre environnement. | |
| SI-4(a)(b)(c) | L'organisation : a. Surveille le système d'information pour détecter : 1. Attaques et indicateurs d'attaques potentielles conformément à [Attribution : objectifs de surveillance définis par l'organisation] ; et 2. Connexions locales, réseau et distantes non autorisées ; b. Identifie l'utilisation non autorisée du système d'information en utilisant [Attribution : techniques et méthodes définies par l'organisation] ; c. Déploie des dispositifs de contrôle : i) à des endroits stratégiques du système d'information pour recueillir des informations essentielles déterminées par l'organisation ; et ii) à des endroits ponctuels du système pour suivre des types spécifiques de transactions présentant un intérêt pour l'organisation. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur le Web ACLs régional et mondial. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait. | |
| SI-4(a)(b)(c) | L'organisation : a. Surveille le système d'information pour détecter : 1. Attaques et indicateurs d'attaques potentielles conformément à [Attribution : objectifs de surveillance définis par l'organisation] ; et 2. Connexions locales, réseau et distantes non autorisées ; b. Identifie l'utilisation non autorisée du système d'information en utilisant [Attribution : techniques et méthodes définies par l'organisation] ; c. Déploie des dispositifs de contrôle : i) à des endroits stratégiques du système d'information pour recueillir des informations essentielles déterminées par l'organisation ; et ii) à des endroits ponctuels du système pour suivre des types spécifiques de transactions présentant un intérêt pour l'organisation. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| SI-4(a)(b)(c) | L'organisation : a. Surveille le système d'information pour détecter : 1. Attaques et indicateurs d'attaques potentielles conformément à [Attribution : objectifs de surveillance définis par l'organisation] ; et 2. Connexions locales, réseau et distantes non autorisées ; b. Identifie l'utilisation non autorisée du système d'information en utilisant [Attribution : techniques et méthodes définies par l'organisation] ; c. Déploie des dispositifs de contrôle : i) à des endroits stratégiques du système d'information pour recueillir des informations essentielles déterminées par l'organisation ; et ii) à des endroits ponctuels du système pour suivre des types spécifiques de transactions présentant un intérêt pour l'organisation. | Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement. | |
| SI-4(a)(b)(c) | L'organisation : a. Surveille le système d'information pour détecter : 1. Attaques et indicateurs d'attaques potentielles conformément à [Attribution : objectifs de surveillance définis par l'organisation] ; et 2. Connexions locales, réseau et distantes non autorisées ; b. Identifie l'utilisation non autorisée du système d'information en utilisant [Attribution : techniques et méthodes définies par l'organisation] ; c. Déploie des dispositifs de contrôle : i) à des endroits stratégiques du système d'information pour recueillir des informations essentielles déterminées par l'organisation ; et ii) à des endroits ponctuels du système pour suivre des types spécifiques de transactions présentant un intérêt pour l'organisation. | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des informations détaillées sur l'activité des appels d'API au sein de votre AWS compte. | |
| SI-4(a)(b)(c) | L'organisation : a. Surveille le système d'information pour détecter : 1. Attaques et indicateurs d'attaques potentielles conformément à [Attribution : objectifs de surveillance définis par l'organisation] ; et 2. Connexions locales, réseau et distantes non autorisées ; b. Identifie l'utilisation non autorisée du système d'information en utilisant [Attribution : techniques et méthodes définies par l'organisation] ; c. Déploie des dispositifs de contrôle : i) à des endroits stratégiques du système d'information pour recueillir des informations essentielles déterminées par l'organisation ; et ii) à des endroits ponctuels du système pour suivre des types spécifiques de transactions présentant un intérêt pour l'organisation. | Activez cette règle pour améliorer la surveillance des instances Amazon Elastic Compute Cloud (Amazon EC2) sur la EC2 console Amazon, qui affiche des graphiques de surveillance avec une période d'une minute pour l'instance. | |
| SI-4(a)(b)(c) | L'organisation : a. Surveille le système d'information pour détecter : 1. Attaques et indicateurs d'attaques potentielles conformément à [Attribution : objectifs de surveillance définis par l'organisation] ; et 2. Connexions locales, réseau et distantes non autorisées ; b. Identifie l'utilisation non autorisée du système d'information en utilisant [Attribution : techniques et méthodes définies par l'organisation] ; c. Déploie des dispositifs de contrôle : i) à des endroits stratégiques du système d'information pour recueillir des informations essentielles déterminées par l'organisation ; et ii) à des endroits ponctuels du système pour suivre des types spécifiques de transactions présentant un intérêt pour l'organisation. | AWS Le WAF vous permet de configurer un ensemble de règles (appelé liste de contrôle d'accès Web (ACL Web)) qui autorisent, bloquent ou comptent les requêtes Web en fonction de règles et de conditions de sécurité Web personnalisables que vous définissez. Assurez-vous que votre étape Amazon API Gateway est associée à une liste ACL Web WAF pour la protéger contre les attaques malveillantes | |
| SI-7 | L'organisation utilise des outils d'audit de l'intégrité pour détecter les modifications non autorisées des [Attribution : logiciels, microprogrammes et informations définis par l'organisation]. | Utilisez la validation des fichiers AWS CloudTrail journaux pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonctionnalité est créée grâce à des algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection. | |
| SI-7(1) | Le système d'information contrôle l'intégrité des événements de sécurité au moins une fois par mois. | Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec AWS Systems Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement. | |
| SI-7(1) | Le système d'information contrôle l'intégrité des événements de sécurité au moins une fois par mois. | Activez cette règle pour faciliter l'identification et la documentation des vulnérabilités d'Amazon Elastic Compute Cloud (Amazon EC2). La règle vérifie si les correctifs d' EC2 instance Amazon sont conformes dans AWS Systems Manager conformément aux politiques et procédures de votre entreprise. | |
| SI-7(1) | Le système d'information contrôle l'intégrité des événements de sécurité au moins une fois par mois. | Utilisez la validation des fichiers AWS CloudTrail journaux pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonctionnalité est créée grâce à des algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection. | |
| RA-5(1) | L'organisation utilise des outils d'analyse des vulnérabilités qui permettent notamment d'immédiatement détecter les vulnérabilités du système d'information à analyser. Conseils supplémentaires : les vulnérabilités à analyser doivent être mises à jour dès que de nouvelles vulnérabilités sont détectées et annoncées, et que des méthodes d'analyse sont développées. Ce processus de mise à jour permet de s'assurer que les potentielles vulnérabilités du système d'information sont identifiées et corrigées le plus rapidement possible. Contrôles associés : SI-3, SI-7. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| RA-5(1) | L'organisation utilise des outils d'analyse des vulnérabilités qui permettent notamment d'immédiatement détecter les vulnérabilités du système d'information à analyser. Conseils supplémentaires : les vulnérabilités à analyser doivent être mises à jour dès que de nouvelles vulnérabilités sont détectées et annoncées, et que des méthodes d'analyse sont développées. Ce processus de mise à jour permet de s'assurer que les potentielles vulnérabilités du système d'information sont identifiées et corrigées le plus rapidement possible. Contrôles associés : SI-3, SI-7. | Amazon vous GuardDuty aide à comprendre l'impact d'un incident en classant les résultats par gravité : faible, moyenne et élevée. Vous pouvez utiliser ces classifications pour déterminer les stratégies et les priorités de correction. Cette règle vous permet de définir éventuellement daysLowSev (Config Default : 30), daysMediumSev (Config Default : 7) et daysHighSev (Config Default : 1) pour les résultats non archivés, comme l'exigent les politiques de votre organisation. | |
| RA-5(1) | L'organisation utilise des outils d'analyse des vulnérabilités qui permettent notamment d'immédiatement détecter les vulnérabilités du système d'information à analyser. Conseils supplémentaires : les vulnérabilités à analyser doivent être mises à jour dès que de nouvelles vulnérabilités sont détectées et annoncées, et que des méthodes d'analyse sont développées. Ce processus de mise à jour permet de s'assurer que les potentielles vulnérabilités du système d'information sont identifiées et corrigées le plus rapidement possible. Contrôles associés : SI-3, SI-7. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| SC-7(4) | L'organisation : (a) implémente une interface gérée pour chaque service de télécommunication externe ; (b) établit une politique de flux de trafic pour chaque interface gérée ; (c) protège la confidentialité et l'intégrité des informations transmises via chaque interface ; (d) Documente chaque exception à la politique de flux de trafic avec un mission/business need and duration of that need; and (e) Reviews exceptions to the traffic flow policy [Assignment: organization-defined frequency] and removes exceptions that are no longer supported by an explicit mission/business besoin justificatif. Conseils supplémentaires : contrôle associé : SC-8. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
| SC-7(4) | L'organisation : (a) implémente une interface gérée pour chaque service de télécommunication externe ; (b) établit une politique de flux de trafic pour chaque interface gérée ; (c) protège la confidentialité et l'intégrité des informations transmises via chaque interface ; (d) Documente chaque exception à la politique de flux de trafic avec un mission/business need and duration of that need; and (e) Reviews exceptions to the traffic flow policy [Assignment: organization-defined frequency] and removes exceptions that are no longer supported by an explicit mission/business besoin justificatif. Conseils supplémentaires : contrôle associé : SC-8. | Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données. | |
| SC-7(4) | L'organisation : (a) implémente une interface gérée pour chaque service de télécommunication externe ; (b) établit une politique de flux de trafic pour chaque interface gérée ; (c) protège la confidentialité et l'intégrité des informations transmises via chaque interface ; (d) Documente chaque exception à la politique de flux de trafic avec un mission/business need and duration of that need; and (e) Reviews exceptions to the traffic flow policy [Assignment: organization-defined frequency] and removes exceptions that are no longer supported by an explicit mission/business besoin justificatif. Conseils supplémentaires : contrôle associé : SC-8. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| SC-7(4) | L'organisation : (a) implémente une interface gérée pour chaque service de télécommunication externe ; (b) établit une politique de flux de trafic pour chaque interface gérée ; (c) protège la confidentialité et l'intégrité des informations transmises via chaque interface ; (d) Documente chaque exception à la politique de flux de trafic avec un mission/business need and duration of that need; and (e) Reviews exceptions to the traffic flow policy [Assignment: organization-defined frequency] and removes exceptions that are no longer supported by an explicit mission/business besoin justificatif. Conseils supplémentaires : contrôle associé : SC-8. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos dans les instances Amazon RDS, activez le chiffrement au repos pour protéger ces données. | |
| SC-7(4) | L'organisation : (a) implémente une interface gérée pour chaque service de télécommunication externe ; (b) établit une politique de flux de trafic pour chaque interface gérée ; (c) protège la confidentialité et l'intégrité des informations transmises via chaque interface ; (d) Documente chaque exception à la politique de flux de trafic avec un mission/business need and duration of that need; and (e) Reviews exceptions to the traffic flow policy [Assignment: organization-defined frequency] and removes exceptions that are no longer supported by an explicit mission/business besoin justificatif. Conseils supplémentaires : contrôle associé : SC-8. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre cluster Amazon Redshift. Comme il peut y avoir des données sensibles au repos dans les clusters Redshift, activez le chiffrement au repos pour protéger ces données. | |
| SC-7(4) | L'organisation : (a) implémente une interface gérée pour chaque service de télécommunication externe ; (b) établit une politique de flux de trafic pour chaque interface gérée ; (c) protège la confidentialité et l'intégrité des informations transmises via chaque interface ; (d) Documente chaque exception à la politique de flux de trafic avec un mission/business need and duration of that need; and (e) Reviews exceptions to the traffic flow policy [Assignment: organization-defined frequency] and removes exceptions that are no longer supported by an explicit mission/business besoin justificatif. Conseils supplémentaires : contrôle associé : SC-8. | Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole. | |
| SC-7(5) | Au niveau des interfaces gérées, le système d'information refuse le trafic de communications réseau par défaut et autorise le trafic de communications réseau par exception (c'est-à-dire, tout refuser, autoriser par exception). Conseils supplémentaires : ce contrôle amélioré s'applique à la fois aux trafics de communications réseau entrant et sortant. Une politique de refus de tout trafic de communications permit-by-exception réseau garantit que seules les connexions essentielles et approuvées sont autorisées. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
| AC-2(7) | L'organisation : (a) établit et administre des comptes d'utilisateurs privilégiés conformément à un schéma d'accès basé sur les rôles qui organise l'accès autorisé au système d'information et les privilèges en rôles ; (b) surveille les attributions de rôles privilégiés ; et (c) prend [Affectation : actions définies par l'organisation] lorsque les attributions de rôles privilégiés ne sont plus appropriées. Conseils supplémentaires : les rôles privilégiés sont des rôles définis par l'organisation et attribués à des individus, permettant à ces derniers d'exécuter certaines fonctions de sécurité que les utilisateurs ordinaires ne sont pas autorisés à exécuter. Ces rôles privilégiés incluent, par exemple, la gestion des clés, la gestion des comptes, l'administration réseau et système, l'administration des bases de données et l'administration Web. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : kms: Déchiffrer, kms:ReEncryptFrom). Les valeurs réelles doivent refléter les politiques de votre organisation | |
| AC-2(7) | L'organisation : (a) établit et administre des comptes d'utilisateurs privilégiés conformément à un schéma d'accès basé sur les rôles qui organise l'accès autorisé au système d'information et les privilèges en rôles ; (b) surveille les attributions de rôles privilégiés ; et (c) prend [Affectation : actions définies par l'organisation] lorsque les attributions de rôles privilégiés ne sont plus appropriées. Conseils supplémentaires : les rôles privilégiés sont des rôles définis par l'organisation et attribués à des individus, permettant à ces derniers d'exécuter certaines fonctions de sécurité que les utilisateurs ordinaires ne sont pas autorisés à exécuter. Ces rôles privilégiés incluent, par exemple, la gestion des clés, la gestion des comptes, l'administration réseau et système, l'administration des bases de données et l'administration Web. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| AC-2(7) | L'organisation : (a) établit et administre des comptes d'utilisateurs privilégiés conformément à un schéma d'accès basé sur les rôles qui organise l'accès autorisé au système d'information et les privilèges en rôles ; (b) surveille les attributions de rôles privilégiés ; et (c) prend [Affectation : actions définies par l'organisation] lorsque les attributions de rôles privilégiés ne sont plus appropriées. Conseils supplémentaires : les rôles privilégiés sont des rôles définis par l'organisation et attribués à des individus, permettant à ces derniers d'exécuter certaines fonctions de sécurité que les utilisateurs ordinaires ne sont pas autorisés à exécuter. Ces rôles privilégiés incluent, par exemple, la gestion des clés, la gestion des comptes, l'administration réseau et système, l'administration des bases de données et l'administration Web. | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| AC-2(7) | L'organisation : (a) établit et administre des comptes d'utilisateurs privilégiés conformément à un schéma d'accès basé sur les rôles qui organise l'accès autorisé au système d'information et les privilèges en rôles ; (b) surveille les attributions de rôles privilégiés ; et (c) prend [Affectation : actions définies par l'organisation] lorsque les attributions de rôles privilégiés ne sont plus appropriées. Conseils supplémentaires : les rôles privilégiés sont des rôles définis par l'organisation et attribués à des individus, permettant à ces derniers d'exécuter certaines fonctions de sécurité que les utilisateurs ordinaires ne sont pas autorisés à exécuter. Ces rôles privilégiés incluent, par exemple, la gestion des clés, la gestion des comptes, l'administration réseau et système, l'administration des bases de données et l'administration Web. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur IAM. Placer les utilisateurs IAM dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est un moyen d'intégrer le moindre privilège. | |
| AC-2(7) | L'organisation : (a) établit et administre des comptes d'utilisateurs privilégiés conformément à un schéma d'accès basé sur les rôles qui organise l'accès autorisé au système d'information et les privilèges en rôles ; (b) surveille les attributions de rôles privilégiés ; et (c) prend [Affectation : actions définies par l'organisation] lorsque les attributions de rôles privilégiés ne sont plus appropriées. Conseils supplémentaires : les rôles privilégiés sont des rôles définis par l'organisation et attribués à des individus, permettant à ces derniers d'exécuter certaines fonctions de sécurité que les utilisateurs ordinaires ne sont pas autorisés à exécuter. Ces rôles privilégiés incluent, par exemple, la gestion des clés, la gestion des comptes, l'administration réseau et système, l'administration des bases de données et l'administration Web. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : kms: Déchiffrer, kms:ReEncryptFrom). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| AC-2(7) | L'organisation : (a) établit et administre des comptes d'utilisateurs privilégiés conformément à un schéma d'accès basé sur les rôles qui organise l'accès autorisé au système d'information et les privilèges en rôles ; (b) surveille les attributions de rôles privilégiés ; et (c) prend [Affectation : actions définies par l'organisation] lorsque les attributions de rôles privilégiés ne sont plus appropriées. Conseils supplémentaires : les rôles privilégiés sont des rôles définis par l'organisation et attribués à des individus, permettant à ces derniers d'exécuter certaines fonctions de sécurité que les utilisateurs ordinaires ne sont pas autorisés à exécuter. Ces rôles privilégiés incluent, par exemple, la gestion des clés, la gestion des comptes, l'administration réseau et système, l'administration des bases de données et l'administration Web. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
| SI-11 | Le système d'information : a. Génère des messages d'erreur qui fournissent les informations nécessaires pour prendre des mesures correctives sans révéler d'informations susceptibles d'être exploitées par des adversaires ; et b. Affiche les messages d'erreur uniquement à [Attribution : personnel ou rôles définis par l'organisation]. Conseils supplémentaires : Les organisations examinent attentivement les structure/content of error messages. The extent to which information systems are able to identify and handle error conditions is guided by organizational policy and operational requirements. Information that could be exploited by adversaries includes, for example, erroneous logon attempts with passwords entered by mistake as the username, mission/business informations qui peuvent être dérivées (si cela n'est pas explicitement indiqué) des informations enregistrées, ainsi que des informations personnelles telles que les numéros de compte, les numéros de sécurité sociale et les numéros de carte de crédit. En outre, les messages d'erreur peuvent servir de canal secret pour la transmission d'informations. Contrôles associés : AU-2, AU-3, SC-31. Amélioration des contrôles : aucune. Références : aucune. | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
| SI-11 | Le système d'information : a. Génère des messages d'erreur qui fournissent les informations nécessaires pour prendre des mesures correctives sans révéler d'informations susceptibles d'être exploitées par des adversaires ; et b. Affiche les messages d'erreur uniquement à [Attribution : personnel ou rôles définis par l'organisation]. Conseils supplémentaires : Les organisations examinent attentivement les structure/content of error messages. The extent to which information systems are able to identify and handle error conditions is guided by organizational policy and operational requirements. Information that could be exploited by adversaries includes, for example, erroneous logon attempts with passwords entered by mistake as the username, mission/business informations qui peuvent être dérivées (si cela n'est pas explicitement indiqué) des informations enregistrées, ainsi que des informations personnelles telles que les numéros de compte, les numéros de sécurité sociale et les numéros de carte de crédit. En outre, les messages d'erreur peuvent servir de canal secret pour la transmission d'informations. Contrôles associés : AU-2, AU-3, SC-31. Amélioration des contrôles : aucune. Références : aucune. | Assurez-vous que la journalisation AWS CodeBuild du projet est activée afin que les journaux de sortie de votre build soient envoyés à Amazon CloudWatch ou à Amazon Simple Storage Service (Amazon S3). Les journaux de résultats de génération fournissent des informations détaillées sur votre projet de génération. | |
| SI-11 | Le système d'information : a. Génère des messages d'erreur qui fournissent les informations nécessaires pour prendre des mesures correctives sans révéler d'informations susceptibles d'être exploitées par des adversaires ; et b. Affiche les messages d'erreur uniquement à [Attribution : personnel ou rôles définis par l'organisation]. Conseils supplémentaires : Les organisations examinent attentivement les structure/content of error messages. The extent to which information systems are able to identify and handle error conditions is guided by organizational policy and operational requirements. Information that could be exploited by adversaries includes, for example, erroneous logon attempts with passwords entered by mistake as the username, mission/business informations qui peuvent être dérivées (si cela n'est pas explicitement indiqué) des informations enregistrées, ainsi que des informations personnelles telles que les numéros de compte, les numéros de sécurité sociale et les numéros de carte de crédit. En outre, les messages d'erreur peuvent servir de canal secret pour la transmission d'informations. Contrôles associés : AU-2, AU-3, SC-31. Amélioration des contrôles : aucune. Références : aucune. | Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole. | |
| SI-11 | Le système d'information : a. Génère des messages d'erreur qui fournissent les informations nécessaires pour prendre des mesures correctives sans révéler d'informations susceptibles d'être exploitées par des adversaires ; et b. Affiche les messages d'erreur uniquement à [Attribution : personnel ou rôles définis par l'organisation]. Conseils supplémentaires : Les organisations examinent attentivement les structure/content of error messages. The extent to which information systems are able to identify and handle error conditions is guided by organizational policy and operational requirements. Information that could be exploited by adversaries includes, for example, erroneous logon attempts with passwords entered by mistake as the username, mission/business informations qui peuvent être dérivées (si cela n'est pas explicitement indiqué) des informations enregistrées, ainsi que des informations personnelles telles que les numéros de compte, les numéros de sécurité sociale et les numéros de carte de crédit. En outre, les messages d'erreur peuvent servir de canal secret pour la transmission d'informations. Contrôles associés : AU-2, AU-3, SC-31. Amélioration des contrôles : aucune. Références : aucune. | La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs. | |
| SI-11 | Le système d'information : a. Génère des messages d'erreur qui fournissent les informations nécessaires pour prendre des mesures correctives sans révéler d'informations susceptibles d'être exploitées par des adversaires ; et b. Affiche les messages d'erreur uniquement à [Attribution : personnel ou rôles définis par l'organisation]. Conseils supplémentaires : Les organisations examinent attentivement les structure/content of error messages. The extent to which information systems are able to identify and handle error conditions is guided by organizational policy and operational requirements. Information that could be exploited by adversaries includes, for example, erroneous logon attempts with passwords entered by mistake as the username, mission/business informations qui peuvent être dérivées (si cela n'est pas explicitement indiqué) des informations enregistrées, ainsi que des informations personnelles telles que les numéros de compte, les numéros de sécurité sociale et les numéros de carte de crédit. En outre, les messages d'erreur peuvent servir de canal secret pour la transmission d'informations. Contrôles associés : AU-2, AU-3, SC-31. Amélioration des contrôles : aucune. Références : aucune. | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des informations détaillées sur l'activité des appels d'API au sein de votre AWS compte. | |
| SI-11 | Le système d'information : a. Génère des messages d'erreur qui fournissent les informations nécessaires pour prendre des mesures correctives sans révéler d'informations susceptibles d'être exploitées par des adversaires ; et b. Affiche les messages d'erreur uniquement à [Attribution : personnel ou rôles définis par l'organisation]. Conseils supplémentaires : Les organisations examinent attentivement les structure/content of error messages. The extent to which information systems are able to identify and handle error conditions is guided by organizational policy and operational requirements. Information that could be exploited by adversaries includes, for example, erroneous logon attempts with passwords entered by mistake as the username, mission/business informations qui peuvent être dérivées (si cela n'est pas explicitement indiqué) des informations enregistrées, ainsi que des informations personnelles telles que les numéros de compte, les numéros de sécurité sociale et les numéros de carte de crédit. En outre, les messages d'erreur peuvent servir de canal secret pour la transmission d'informations. Contrôles associés : AU-2, AU-3, SC-31. Amélioration des contrôles : aucune. Références : aucune. | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| SI-3 | L'organisation : a. Utilise des mécanismes de protection contre les codes malveillants aux points d'entrée et de sortie du système d'information pour détecter et éradiquer les codes malveillants ; b. Met à jour les mécanismes de protection contre les codes malveillants dès que de nouvelles versions sont disponibles conformément aux politiques et procédures de gestion de la configuration de l'entreprise ; c. Configure les mécanismes de protection contre les codes malveillants pour : 1. Effectuez des analyses périodiques du système d'information [Affectation : fréquence définie par l'organisation] et des analyses en temps réel des fichiers provenant de sources externes sur [Sélection (une ou plusieurs) ; terminaux ; entry/exit points] as the files are downloaded, opened, or executed in accordance with organizational security policy; and 2. [Selection(one or more): block malicious code; quarantine malicious code; send alert to administrator; [Assignment: organization-defined action]] in response to malicious code detection; and d. Addresses the receipt of false positives during malicious code detection and eradication and the resulting potential impact on the availability of the information system. Supplemental Guidance: Information system entry and exit points include, for example, firewalls, electronic mail servers, web servers, proxy servers, remote-access servers, workstations, notebook computers, and mobile devices. Malicious code includes, for example, viruses, worms, Trojan horses, and spyware. Malicious code can also be encoded in various formats(e.g., UUENCODE, Unicode), contained within compressed or hidden files, or hidden in files using steganography. Malicious code can be transported by different means including, for example, web accesses, electronic mail, electronic mail attachments, and portable storage devices. Malicious code insertions occur through the exploitation of information system vulnerabilities. Malicious code protection mechanisms include, for example, anti-virus signature definitions and reputation-based technologies. A variety of technologies and methods exist to limit or eliminate the effects of malicious code. Pervasive configuration management and comprehensive software integrity controls may be effective in preventing execution of unauthorized code. In addition to commercial off-the-shelf software, malicious code may also be present in custom-built software. This could include, for example, logic bombs, back doors, and other types of cyber attacks that could affect organizational missions/business functions. Traditional malicious code protection mechanisms cannot always detect such code. In these situations, organizations rely instead on other safeguards including, for example, secure coding practices, configuration management and control, trusted procurement processes, and monitoring practices to help ensure that software does not perform functions other than the functions intended. Organizations may determine that in response to the detection of malicious code, different actions may be warranted. For example, organizations can define actions in response to malicious code detection during periodic scans, actions in response to detection of malicious downloads, and/or actions réseau en réponse à la détection d'un acte malveillant lors d'une tentative d'ouverture ou d'exécution de fichiers. Contrôles associés : CM-3, MP-2, SA-4, SA-8, SA-12, SA-13, SC-7, SC-26, SC-44, SI-2, SI-4, SI-7. Références : NIST Special Publication 800-83. | Assurez-vous que les informations AWS_ACCESS_KEY_ID d'authentification n' AWS_SECRET_ACCESS_KEY existent pas dans les environnements de projet AWS Codebuild. Ne stockez pas ces variables en clair. Le stockage de ces variables en clair entraîne une exposition involontaire des données et un accès non autorisé. | |
| SI-3 | L'organisation : a. Utilise des mécanismes de protection contre les codes malveillants aux points d'entrée et de sortie du système d'information pour détecter et éradiquer les codes malveillants ; b. Met à jour les mécanismes de protection contre les codes malveillants dès que de nouvelles versions sont disponibles conformément aux politiques et procédures de gestion de la configuration de l'entreprise ; c. Configure les mécanismes de protection contre les codes malveillants pour : 1. Effectuez des analyses périodiques du système d'information [Affectation : fréquence définie par l'organisation] et des analyses en temps réel des fichiers provenant de sources externes sur [Sélection (une ou plusieurs) ; terminaux ; entry/exit points] as the files are downloaded, opened, or executed in accordance with organizational security policy; and 2. [Selection(one or more): block malicious code; quarantine malicious code; send alert to administrator; [Assignment: organization-defined action]] in response to malicious code detection; and d. Addresses the receipt of false positives during malicious code detection and eradication and the resulting potential impact on the availability of the information system. Supplemental Guidance: Information system entry and exit points include, for example, firewalls, electronic mail servers, web servers, proxy servers, remote-access servers, workstations, notebook computers, and mobile devices. Malicious code includes, for example, viruses, worms, Trojan horses, and spyware. Malicious code can also be encoded in various formats(e.g., UUENCODE, Unicode), contained within compressed or hidden files, or hidden in files using steganography. Malicious code can be transported by different means including, for example, web accesses, electronic mail, electronic mail attachments, and portable storage devices. Malicious code insertions occur through the exploitation of information system vulnerabilities. Malicious code protection mechanisms include, for example, anti-virus signature definitions and reputation-based technologies. A variety of technologies and methods exist to limit or eliminate the effects of malicious code. Pervasive configuration management and comprehensive software integrity controls may be effective in preventing execution of unauthorized code. In addition to commercial off-the-shelf software, malicious code may also be present in custom-built software. This could include, for example, logic bombs, back doors, and other types of cyber attacks that could affect organizational missions/business functions. Traditional malicious code protection mechanisms cannot always detect such code. In these situations, organizations rely instead on other safeguards including, for example, secure coding practices, configuration management and control, trusted procurement processes, and monitoring practices to help ensure that software does not perform functions other than the functions intended. Organizations may determine that in response to the detection of malicious code, different actions may be warranted. For example, organizations can define actions in response to malicious code detection during periodic scans, actions in response to detection of malicious downloads, and/or actions réseau en réponse à la détection d'un acte malveillant lors d'une tentative d'ouverture ou d'exécution de fichiers. Contrôles associés : CM-3, MP-2, SA-4, SA-8, SA-12, SA-13, SC-7, SC-26, SC-44, SI-2, SI-4, SI-7. Références : NIST Special Publication 800-83. | Assurez-vous que l'URL du référentiel source GitHub ou Bitbucket ne contient pas de jetons d'accès personnels, de nom d'utilisateur et de mot de passe dans les environnements de projet AWS Codebuild. Utilisez OAuth plutôt des jetons d'accès personnels ou un nom d'utilisateur et un mot de passe pour autoriser l'accès aux GitHub référentiels Bitbucket. | |
| SI-5 | L'organisation : a. Reçoit des alertes, des conseils et des directives de sécurité du système d'information de la part de [Attribution : organisations externes définies par l'organisation] sur une base continue ; b. Génère des alertes, des conseils et des directives de sécurité internes si nécessaire ; c. Diffuse des alertes, des conseils et des directives de sécurité à : [Sélection (un ou plusieurs) : [Attribution : personnel ou rôles définis par l'organisation] ; [Attribution : éléments définis par l'organisation dans l'organisation] ; [Attribution : organisations externes définies par l'organisation] ; et d. Applique les directives de sécurité conformément aux délais prédéfinis ou informe l'organisme émetteur du degré de non-conformité. Conseils supplémentaires : l'équipe United States Computer Emergency Readiness(US-CERT) génère des alertes et des conseils de sécurité afin d'assurer une connaissance de la situation au sein du gouvernement fédéral. Les directives de sécurité sont émises par l'OMB ou par d'autres organisations désignées ayant la responsabilité et le pouvoir d'émettre de telles directives. Se conformer aux directives de sécurité est essentielle en raison de l'aspect critique de bon nombre de ces directives et des effets négatifs immédiats potentiels sur les opérations et les ressources de l'organisation, les individus, les autres organisations et le pays si les directives ne sont pas mises en œuvre en temps opportun. Les organisations externes incluent, par exemple, mission/business partners, supply chain partners, external service providers, and other peer/supporting les organisations externes. Contrôle associé : SI-2. Références : NIST Special Publication 800-40. | Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement. | |
| SI-5 | L'organisation : a. Reçoit des alertes, des conseils et des directives de sécurité du système d'information de la part de [Attribution : organisations externes définies par l'organisation] sur une base continue ; b. Génère des alertes, des conseils et des directives de sécurité internes si nécessaire ; c. Diffuse des alertes, des conseils et des directives de sécurité à : [Sélection (un ou plusieurs) : [Attribution : personnel ou rôles définis par l'organisation] ; [Attribution : éléments définis par l'organisation dans l'organisation] ; [Attribution : organisations externes définies par l'organisation] ; et d. Applique les directives de sécurité conformément aux délais prédéfinis ou informe l'organisme émetteur du degré de non-conformité. Conseils supplémentaires : l'équipe United States Computer Emergency Readiness(US-CERT) génère des alertes et des conseils de sécurité afin d'assurer une connaissance de la situation au sein du gouvernement fédéral. Les directives de sécurité sont émises par l'OMB ou par d'autres organisations désignées ayant la responsabilité et le pouvoir d'émettre de telles directives. Se conformer aux directives de sécurité est essentielle en raison de l'aspect critique de bon nombre de ces directives et des effets négatifs immédiats potentiels sur les opérations et les ressources de l'organisation, les individus, les autres organisations et le pays si les directives ne sont pas mises en œuvre en temps opportun. Les organisations externes incluent, par exemple, mission/business partners, supply chain partners, external service providers, and other peer/supporting les organisations externes. Contrôle associé : SI-2. Références : NIST Special Publication 800-40. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| SI-5 | L'organisation : a. Reçoit des alertes, des conseils et des directives de sécurité du système d'information de la part de [Attribution : organisations externes définies par l'organisation] sur une base continue ; b. Génère des alertes, des conseils et des directives de sécurité internes si nécessaire ; c. Diffuse des alertes, des conseils et des directives de sécurité à : [Sélection (un ou plusieurs) : [Attribution : personnel ou rôles définis par l'organisation] ; [Attribution : éléments définis par l'organisation dans l'organisation] ; [Attribution : organisations externes définies par l'organisation] ; et d. Applique les directives de sécurité conformément aux délais prédéfinis ou informe l'organisme émetteur du degré de non-conformité. Conseils supplémentaires : l'équipe United States Computer Emergency Readiness(US-CERT) génère des alertes et des conseils de sécurité afin d'assurer une connaissance de la situation au sein du gouvernement fédéral. Les directives de sécurité sont émises par l'OMB ou par d'autres organisations désignées ayant la responsabilité et le pouvoir d'émettre de telles directives. Se conformer aux directives de sécurité est essentielle en raison de l'aspect critique de bon nombre de ces directives et des effets négatifs immédiats potentiels sur les opérations et les ressources de l'organisation, les individus, les autres organisations et le pays si les directives ne sont pas mises en œuvre en temps opportun. Les organisations externes incluent, par exemple, mission/business partners, supply chain partners, external service providers, and other peer/supporting les organisations externes. Contrôle associé : SI-2. Références : NIST Special Publication 800-40. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| SI-5 | L'organisation : a. Reçoit des alertes, des conseils et des directives de sécurité du système d'information de la part de [Attribution : organisations externes définies par l'organisation] sur une base continue ; b. Génère des alertes, des conseils et des directives de sécurité internes si nécessaire ; c. Diffuse des alertes, des conseils et des directives de sécurité à : [Sélection (un ou plusieurs) : [Attribution : personnel ou rôles définis par l'organisation] ; [Attribution : éléments définis par l'organisation dans l'organisation] ; [Attribution : organisations externes définies par l'organisation] ; et d. Applique les directives de sécurité conformément aux délais prédéfinis ou informe l'organisme émetteur du degré de non-conformité. Conseils supplémentaires : l'équipe United States Computer Emergency Readiness(US-CERT) génère des alertes et des conseils de sécurité afin d'assurer une connaissance de la situation au sein du gouvernement fédéral. Les directives de sécurité sont émises par l'OMB ou par d'autres organisations désignées ayant la responsabilité et le pouvoir d'émettre de telles directives. Se conformer aux directives de sécurité est essentielle en raison de l'aspect critique de bon nombre de ces directives et des effets négatifs immédiats potentiels sur les opérations et les ressources de l'organisation, les individus, les autres organisations et le pays si les directives ne sont pas mises en œuvre en temps opportun. Les organisations externes incluent, par exemple, mission/business partners, supply chain partners, external service providers, and other peer/supporting les organisations externes. Contrôle associé : SI-2. Références : NIST Special Publication 800-40. | Amazon vous GuardDuty aide à comprendre l'impact d'un incident en classant les résultats par gravité : faible, moyenne et élevée. Vous pouvez utiliser ces classifications pour déterminer les stratégies et les priorités de correction. Cette règle vous permet de définir éventuellement daysLowSev (Config Default : 30), daysMediumSev (Config Default : 7) et daysHighSev (Config Default : 1) pour les résultats non archivés, comme l'exigent les politiques de votre organisation. | |
| AC-2(4) | Le système d'information audite automatiquement les actions de création, de modification, d'activation, de désactivation et de suppression de comptes, et notifie [Attribution : personnel ou rôles définis par l'organisation]. | Assurez-vous que la journalisation AWS CodeBuild du projet est activée afin que les journaux de sortie de votre build soient envoyés à Amazon CloudWatch ou à Amazon Simple Storage Service (Amazon S3). Les journaux de résultats de génération fournissent des informations détaillées sur votre projet de génération. | |
| AC-2(g) | L'organisation : g. Surveille l'utilisation des comptes du système d'information. | Assurez-vous que la journalisation AWS CodeBuild du projet est activée afin que les journaux de sortie de votre build soient envoyés à Amazon CloudWatch ou à Amazon Simple Storage Service (Amazon S3). Les journaux de résultats de génération fournissent des informations détaillées sur votre projet de génération. | |
| AU-12(a)(c) | Le système d'information : a. Permet de générer des enregistrements d'audit pour les événements vérifiables définis dans AU-2 a. sur tous les composants du système d'information et du réseau où la capacité d'audit est déployée/disponible c. Génère des enregistrements d'audit pour les événements définis dans AU-2 d. avec le contenu défini dans AU-3. | Assurez-vous que la journalisation AWS CodeBuild du projet est activée afin que les journaux de sortie de votre build soient envoyés à Amazon CloudWatch ou à Amazon Simple Storage Service (Amazon S3). Les journaux de résultats de génération fournissent des informations détaillées sur votre projet de génération. | |
| AU-2(a)(d) | L'organisation : a. Détermine que le système d'information est capable d'auditer les événements suivants : événements de réussite et d'échec d'ouverture de compte, événements de gestion de compte, accès aux objets, modification des politiques, fonctions privilégiées, suivi des processus et événements système. Pour les applications Web : l'ensemble des activités de l'administrateur, des contrôles d'authentification, des contrôles d'autorisation, des suppressions de données, des accès aux données, des modifications de données et des modifications d'autorisations. d. Détermine que les événements suivants doivent être audités dans le système d'information : [sous-ensemble des événements vérifiables définis dans AU-2 a défini par l'organisation devant être constamment audité pour chaque événement identifié]. | Assurez-vous que la journalisation AWS CodeBuild du projet est activée afin que les journaux de sortie de votre build soient envoyés à Amazon CloudWatch ou à Amazon Simple Storage Service (Amazon S3). Les journaux de résultats de génération fournissent des informations détaillées sur votre projet de génération. | |
| AU-3 | Le système d'information génère des enregistrements d'audit contenant des informations qui établissent quel type d'événement s'est produit, quand l'événement s'est produit, où l'événement s'est produit, la source de l'événement, le résultat de l'événement et l'identité de toute personne ou sujet associé à l'événement. | Assurez-vous que la journalisation AWS CodeBuild du projet est activée afin que les journaux de sortie de votre build soient envoyés à Amazon CloudWatch ou à Amazon Simple Storage Service (Amazon S3). Les journaux de résultats de génération fournissent des informations détaillées sur votre projet de génération. | |
| AU-6(1)(3) | (1) L'organisation utilise des mécanismes automatisés pour intégrer les processus d'audit, d'analyse et de génération de rapports afin de faciliter les processus organisationnels d'enquête et de réponse aux activités suspectes. (3) L'organisation analyse et met en corrélation les enregistrements d'audit de différents répertoires afin d'obtenir une meilleure visibilité de la situation à l'échelle de l'organisation. | Assurez-vous que la journalisation AWS CodeBuild du projet est activée afin que les journaux de sortie de votre build soient envoyés à Amazon CloudWatch ou à Amazon Simple Storage Service (Amazon S3). Les journaux de résultats de génération fournissent des informations détaillées sur votre projet de génération. |
Modèle
Le modèle est disponible sur GitHub : Operational Best Practices for FedRAMP (High
