Bonnes pratiques de fonctionnement pour Gramm Leach Bliley Act (GLBA) - AWS Config

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bonnes pratiques de fonctionnement pour Gramm Leach Bliley Act (GLBA)

Les packs de conformité fournissent un cadre de conformité à usage général conçu pour vous permettre de créer des contrôles de gouvernance en matière de sécurité, d'exploitation ou d'optimisation des coûts à l'aide de AWS Config règles gérées ou personnalisées et d'actions correctives. AWS Config Les packs de conformité, en tant qu'exemples de modèle, ne sont pas conçus pour garantir pleinement la conformité à une norme de gouvernance ou de conformité spécifique. Il vous incombe de déterminer vous-même si votre utilisation des services est conforme aux exigences légales et réglementaires applicables.

Vous trouverez ci-dessous un exemple de mappage entre les règles Gramm-Leach-Bliley Act (GLBA) et les règles de configuration gérées par AWS . Chaque règle Config s'applique à une AWS ressource spécifique et concerne un ou plusieurs contrôles GLBA. Un contrôle GLBA peut être associé à plusieurs règles de configuration. Reportez-vous au tableau ci-dessous pour obtenir plus de détails et des conseils relatifs à ces mappages.

ID du contrôle Description du contrôle AWS Règle de configuration Conseils
GLBA-SEC.501(b) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques

dms-replication-not-public

Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
GLBA-SEC.501(b) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques

ebs-snapshot-public-restorable-check

Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
GLBA-SEC.501(b) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques

ec2-instance-no-public-ip

Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
GLBA-SEC.501(b) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques

elasticsearch-in-vpc-only

Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
GLBA-SEC.501(b) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques

emr-master-no-public-ip

Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
GLBA-SEC.501(b) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques

ec2-instances-in-vpc

Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès.
GLBA-SEC.501(b) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques

internet-gateway-authorized-vpc-only

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les passerelles Internet ne sont connectées qu'à Amazon Virtual Private Cloud (Amazon VPC) autorisé. Les passerelles Internet permettent un accès bidirectionnel à Internet depuis et vers le réseau Amazon VPC, ce qui peut potentiellement entraîner un accès non autorisé aux ressources Amazon VPC.
GLBA-SEC.501(b) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques

lambda-function-public-access-prohibited

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources.
GLBA-SEC.501(b) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques

lambda-inside-vpc

Déployez les fonctions AWS Lambda dans un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC.
GLBA-SEC.501(b) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques

rds-instance-public-access-check

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
GLBA-SEC.501(b) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques

rds-snapshots-public-prohibited

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
GLBA-SEC.501(b) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques

redshift-cluster-public-access-check

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
GLBA-SEC.501(b) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques

s3-account-level-public-access-blocks-periodic

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation.
GLBA-SEC.501(b) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques

s3-bucket-public-read-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
GLBA-SEC.501(b) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques

sagemaker-notebook-no-direct-internet-access

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles.
GLBA-SEC.501(b) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques

autoscaling-launch-config-public-ip-disabled

Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs.
GLBA-SEC.501(b) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques

s3-bucket-level-public-access-prohibited

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment.
GLBA-SEC.501(b) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques

s3-bucket-public-write-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
GLBA-SEC.501(b) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques

ssm-document-not-public

Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes.
GLBA-SEC.501(b) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques

subnet-auto-assign-public-ip-disabled

Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale.
GLBA-SEC.501(b) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques

vpc-sg-open-only-to-authorized-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes.
GLBA-SEC.501(b) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques

opensearch-in-vpc-only

Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
GLBA-SEC.501(b)(1) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques (1) pour assurer la sécurité et la confidentialité des enregistrements et des informations clients ;

api-gw-cache-enabled-and-encrypted

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour le cache de votre environnement API Gateway. Étant donné que des données sensibles peuvent être capturées pour la méthode API, activez le chiffrement au repos pour protéger ces données.
GLBA-SEC.501(b)(1) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques (1) pour assurer la sécurité et la confidentialité des enregistrements et des informations clients ;

cloud-trail-encryption-enabled

Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le cryptage est activé pour vos AWS CloudTrail pistes.
GLBA-SEC.501(b)(1) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques (1) pour assurer la sécurité et la confidentialité des enregistrements et des informations clients ;

cloudwatch-log-group-encrypted

Pour protéger les données sensibles au repos, assurez-vous que le chiffrement est activé pour vos Amazon CloudWatch Log Groups.
GLBA-SEC.501(b)(1) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques (1) pour assurer la sécurité et la confidentialité des enregistrements et des informations clients ;

efs-encrypted-check

Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour votre Amazon Elastic File System (EFS).
GLBA-SEC.501(b)(1) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques (1) pour assurer la sécurité et la confidentialité des enregistrements et des informations clients ;

elasticsearch-encrypted-at-rest

Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch OpenSearch Service (Service).
GLBA-SEC.501(b)(1) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques (1) pour assurer la sécurité et la confidentialité des enregistrements et des informations clients ;

encrypted-volumes

Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS).
GLBA-SEC.501(b)(1) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques (1) pour assurer la sécurité et la confidentialité des enregistrements et des informations clients ;

rds-storage-encrypted

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos dans les instances Amazon RDS, activez le chiffrement au repos pour protéger ces données.
GLBA-SEC.501(b)(1) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques (1) pour assurer la sécurité et la confidentialité des enregistrements et des informations clients ;

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
GLBA-SEC.501(b)(1) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques (1) pour assurer la sécurité et la confidentialité des enregistrements et des informations clients ;

s3-bucket-server-side-encryption-enabled

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données.
GLBA-SEC.501(b)(1) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques (1) pour assurer la sécurité et la confidentialité des enregistrements et des informations clients ;

sagemaker-endpoint-configuration-kms-key-configured

Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker terminal. Étant donné que les données sensibles peuvent exister au repos sur le SageMaker terminal, activez le chiffrement au repos pour protéger ces données.
GLBA-SEC.501(b)(1) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques (1) pour assurer la sécurité et la confidentialité des enregistrements et des informations clients ;

sagemaker-notebook-instance-kms-key-configured

Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker ordinateur portable. Étant donné que des données sensibles peuvent exister au repos dans le SageMaker bloc-notes, activez le chiffrement au repos pour protéger ces données.
GLBA-SEC.501(b)(1) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques (1) pour assurer la sécurité et la confidentialité des enregistrements et des informations clients ;

sns-encrypted-kms

Pour protéger les données au repos, assurez-vous que vos rubriques Amazon Simple Notification Service (Amazon SNS) nécessitent un chiffrement à l' AWS aide du Key Management Service AWS (KMS). Comme il peut y avoir des données sensibles au repos dans les messages publiés, activez le chiffrement au repos pour protéger ces données.
GLBA-SEC.501(b)(1) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques (1) pour assurer la sécurité et la confidentialité des enregistrements et des informations clients ;

ec2-ebs-encryption-by-default

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données.
GLBA-SEC.501(b)(1) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques (1) pour assurer la sécurité et la confidentialité des enregistrements et des informations clients ;

dynamodb-table-encrypted-kms

Assurez-vous que le chiffrement est activé pour vos tables Amazon DynamoDB. Comme il peut y avoir des données sensibles au repos dans ces tables, activez le chiffrement au repos pour protéger ces données. Par défaut, les tables DynamoDB sont chiffrées à l'aide AWS d'une clé principale propre au client (CMK).
GLBA-SEC.501(b)(1) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques (1) pour assurer la sécurité et la confidentialité des enregistrements et des informations clients ;

rds-snapshot-encrypted

Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données.
GLBA-SEC.501(b)(1) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques (1) pour assurer la sécurité et la confidentialité des enregistrements et des informations clients ;

s3-default-encryption-kms

Assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans un compartiment Amazon S3, activez le chiffrement au repos pour protéger ces données.
GLBA-SEC.501(b)(1) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques (1) pour assurer la sécurité et la confidentialité des enregistrements et des informations clients ;

backup-recovery-point-encrypted

Assurez-vous que le chiffrement est activé pour vos points AWS de restauration Backup. Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données.
GLBA-SEC.501(b)(1) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques (1) pour assurer la sécurité et la confidentialité des enregistrements et des informations clients ;

elasticsearch-node-to-node-encryption-check

Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
GLBA-SEC.501(b)(1) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques (1) pour assurer la sécurité et la confidentialité des enregistrements et des informations clients ;

codebuild-project-s3-logs-encrypted

Pour protéger les données sensibles au repos, assurez-vous que le chiffrement est activé pour vos AWS CodeBuild journaux stockés dans Amazon S3.
GLBA-SEC.501(b)(1) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques (1) pour assurer la sécurité et la confidentialité des enregistrements et des informations clients ;

codebuild-project-artifact-encryption

Pour protéger les données sensibles au repos, assurez-vous que le chiffrement est activé pour vos AWS CodeBuild artefacts.
GLBA-SEC.501(b)(1) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques (1) pour assurer la sécurité et la confidentialité des enregistrements et des informations clients ;

opensearch-encrypted-at-rest

Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch Service.
GLBA-SEC.501(b)(1) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques (1) pour assurer la sécurité et la confidentialité des enregistrements et des informations clients ;

opensearch-node-to-node-encryption-check

Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
GLBA-SEC.501(b)(1) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques (1) pour assurer la sécurité et la confidentialité des enregistrements et des informations clients ;

kinesis-stream-encrypted

Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos flux Amazon Kinesis Streams.
GLBA-SEC.501(b)(2) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques (2) pour anticiper et contrer toute menace ou tout risque lié(e) à la sécurité et l'intégrité de ces enregistrements ; et

guardduty-enabled-centralized

Amazon GuardDuty peut aider à surveiller et à détecter les événements de cybersécurité potentiels en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
GLBA-SEC.501(b)(2) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques (2) pour anticiper et contrer toute menace ou tout risque lié(e) à la sécurité et l'intégrité de ces enregistrements ; et

securityhub-enabled

AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS
GLBA-SEC.501(b)(3) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques (3) pour contrer tout accès non autorisé à ces enregistrements ou informations, ou toute utilisation non autorisé de ceux-ci, qui pourrait nuire considérablement à un client.

secretsmanager-rotation-enabled-check

Cette règle garantit que la rotation AWS des secrets de Secrets Manager est activée. La rotation régulière des secrets peut raccourcir la période pendant laquelle un secret est actif et potentiellement réduire l'impact commercial s'il est compromis.
GLBA-SEC.501(b)(3) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques (3) pour contrer tout accès non autorisé à ces enregistrements ou informations, ou toute utilisation non autorisé de ceux-ci, qui pourrait nuire considérablement à un client.

access-keys-rotated

Les informations d'identification sont auditées pour les appareils, les utilisateurs et les processus autorisés en veillant à ce que les clés d'accès IAM soient alternées conformément à la politique de l'organisation. La modification régulière des clés d'accès est une bonne pratique de sécurité. Cela permet de raccourcir la période pendant laquelle une clé d'accès est active et de réduire l'impact commercial en cas de compromission des clés. Cette règle nécessite une valeur de rotation des clés d'accès (configuration par défaut : 90). La valeur réelle doit refléter les politiques de votre organisation.
GLBA-SEC.501(b)(3) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques (3) pour contrer tout accès non autorisé à ces enregistrements ou informations, ou toute utilisation non autorisé de ceux-ci, qui pourrait nuire considérablement à un client.

iam-group-has-users-check

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège.
GLBA-SEC.501(b)(3) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques (3) pour contrer tout accès non autorisé à ces enregistrements ou informations, ou toute utilisation non autorisé de ceux-ci, qui pourrait nuire considérablement à un client.

iam-password-policy

Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation.
GLBA-SEC.501(b)(3) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques (3) pour contrer tout accès non autorisé à ces enregistrements ou informations, ou toute utilisation non autorisé de ceux-ci, qui pourrait nuire considérablement à un client.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
GLBA-SEC.501(b)(3) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques (3) pour contrer tout accès non autorisé à ces enregistrements ou informations, ou toute utilisation non autorisé de ceux-ci, qui pourrait nuire considérablement à un client.

iam-root-access-key-check

L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
GLBA-SEC.501(b)(3) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques (3) pour contrer tout accès non autorisé à ces enregistrements ou informations, ou toute utilisation non autorisé de ceux-ci, qui pourrait nuire considérablement à un client.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
GLBA-SEC.501(b)(3) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques (3) pour contrer tout accès non autorisé à ces enregistrements ou informations, ou toute utilisation non autorisé de ceux-ci, qui pourrait nuire considérablement à un client.

iam-user-no-policies-check

Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs.
GLBA-SEC.501(b)(3) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques (3) pour contrer tout accès non autorisé à ces enregistrements ou informations, ou toute utilisation non autorisé de ceux-ci, qui pourrait nuire considérablement à un client.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation.
GLBA-SEC.501(b)(3) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques (3) pour contrer tout accès non autorisé à ces enregistrements ou informations, ou toute utilisation non autorisé de ceux-ci, qui pourrait nuire considérablement à un client.

s3-bucket-policy-grantee-check

Gérez l'accès au AWS cloud en activant s3_ bucket_policy_grantee_check. Cette règle vérifie que l'accès accordé par le compartiment Amazon S3 est limité par les principaux, les utilisateurs fédérés, AWS les principaux de service, les adresses IP ou les identifiants Amazon Virtual Private Cloud (Amazon VPC) que vous fournissez.
GLBA-SEC.501(b)(3) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques (3) pour contrer tout accès non autorisé à ces enregistrements ou informations, ou toute utilisation non autorisé de ceux-ci, qui pourrait nuire considérablement à un client.

iam-policy-no-statements-with-full-access

Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
GLBA-SEC.501(b)(3) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques (3) pour contrer tout accès non autorisé à ces enregistrements ou informations, ou toute utilisation non autorisé de ceux-ci, qui pourrait nuire considérablement à un client.

mfa-enabled-for-iam-console-access

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles.
GLBA-SEC.501(b)(3) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques (3) pour contrer tout accès non autorisé à ces enregistrements ou informations, ou toute utilisation non autorisé de ceux-ci, qui pourrait nuire considérablement à un client.

opensearch-access-control-enabled

Assurez-vous que le contrôle d'accès détaillé est activé sur vos domaines Amazon OpenSearch Service. Le contrôle d'accès précis fournit des mécanismes d'autorisation améliorés pour obtenir un accès moins privilégié aux domaines Amazon Service. OpenSearch Il permet un contrôle d'accès au domaine basé sur les rôles, ainsi que la sécurité au niveau des index, des documents et des champs, la prise en charge des tableaux de bord de OpenSearch service, la mutualisation des tableaux de bord des services et l'authentification HTTP de base pour Service et Kibana. OpenSearch
GLBA-SEC.501(b)(3) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques (3) pour contrer tout accès non autorisé à ces enregistrements ou informations, ou toute utilisation non autorisé de ceux-ci, qui pourrait nuire considérablement à un client.

ecs-containers-readonly-access

L'activation de l'accès en lecture seule aux conteneurs Amazon Elastic Container Service (ECS) permet de respecter le principe du moindre privilège. Cette option peut réduire les vecteurs d'attaque, car le système de fichiers de l'instance de conteneur ne peut être modifié que s'il dispose d'autorisations explicites de lecture et d'écriture.
GLBA-SEC.501(b)(3) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques (3) pour contrer tout accès non autorisé à ces enregistrements ou informations, ou toute utilisation non autorisé de ceux-ci, qui pourrait nuire considérablement à un client.

efs-access-point-enforce-root-directory

Utiliser un répertoire racine pour un point d'accès Amazon Elastic File System (Amazon EFS) permet de restreindre l'accès aux données en veillant à ce que les utilisateurs du point d'accès ne puissent accéder qu'aux fichiers du sous-répertoire spécifié.
GLBA-SEC.501(b)(3) Conformément à la politique énoncée dans la sous-section (a), chaque agence ou autorité décrite dans la section 505(a) doit définir des normes appropriées pour les institutions financières soumises à leur juridiction en matière de protections administratives, techniques et physiques (3) pour contrer tout accès non autorisé à ces enregistrements ou informations, ou toute utilisation non autorisé de ceux-ci, qui pourrait nuire considérablement à un client.

efs-access-point-enforce-user-identity

Pour faciliter la mise en œuvre du principe du moindre privilège, assurez-vous que l'application des utilisateurs est activée pour votre Amazon Elastic File System (Amazon EFS). Lorsque cette option est activée, Amazon EFS remplace les ID utilisateur et de groupe du client NFS par l'identité configurée sur le point d'accès pour toutes les opérations du système de fichiers et n'accorde l'accès qu'à cette identité d'utilisateur appliquée.

Modèle

Le modèle est disponible sur GitHub : Operational Best Practices for Gramm Leach Bliley Act (GLBA).