Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Bonnes pratiques de fonctionnement pour la sécurité HIPAA
Les packs de conformité fournissent un cadre de conformité à usage général conçu pour vous permettre de créer des contrôles de gouvernance en matière de sécurité, d'exploitation ou d'optimisation des coûts à l'aide de AWS Config règles gérées ou personnalisées et d'actions correctives. AWS Config Les packs de conformité, en tant qu'exemples de modèle, ne sont pas conçus pour garantir pleinement la conformité à une norme de gouvernance ou de conformité spécifique. Il vous incombe de déterminer vous-même si votre utilisation des services est conforme aux exigences légales et réglementaires applicables.
Vous trouverez ci-dessous un exemple de mappage entre le Health Insurance Portability and Accountability Act (HIPAA) et les règles Managed AWS Config. Chaque règle Config s'applique à une AWS ressource spécifique et concerne un ou plusieurs contrôles HIPAA. Un contrôle HIPAA peut être associé à plusieurs règles de configuration. Reportez-vous au tableau ci-dessous pour obtenir plus de détails et des conseils relatifs à ces mappages.
Ce pack de conformité a été validé par AWS Security Assurance Services LLC (AWS SAS), qui est une équipe d'évaluateurs de sécurité qualifiés (QSA) dans le secteur des cartes de paiement, de praticiens certifiés par HITRUST Common Security Framework (CCSFP) et de professionnels de la conformité certifiés pour fournir des conseils et des évaluations pour divers frameworks industriels. AWS Les professionnels de SAS ont conçu ce pack de conformité pour permettre à un client de se conformer à un sous-ensemble de la loi HIPAA.
ID du contrôle | Description du contrôle | AWS Règle de configuration | Conseils |
---|---|---|---|
164,308(a)(1)(ii)(A) | (A) Analyse des risques (obligatoire). Procédez à une évaluation précise et approfondie des potentiels risques et vulnérabilités en matière de confidentialité, d'intégrité et de disponibilité des informations électroniques protégées sur la santé détenues par l'entité couverte. | annual-risk-assessment-performed (Vérification du processus) | Effectuez une évaluation annuelle des risques au sein de votre organisation. Les évaluations des risques peuvent aider à déterminer la probabilité et l'impact des risques et/ou des vulnérabilités identifiés sur une organisation. |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | La surveillance de l'état Elastic Load Balancer (ELB) pour les groupes Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) permet de maintenir une capacité et une disponibilité adéquates. L'équilibreur de charge envoie périodiquement des pings, effectue des tentatives de connexion ou adresse des demandes pour tester l'état des instances Amazon EC2 dans un groupe Auto Scaling. Si une instance ne renvoie pas de rapport, le trafic est envoyé à une nouvelle instance Amazon EC2. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le cryptage est activé pour vos AWS CloudTrail pistes. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Utilisez la validation des fichiers AWS CloudTrail journaux pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonctionnalité est créée grâce à des algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Assurez-vous que les informations d'authentification AWS_ACCESS_KEY_ID et AWS_SECRET_ACCESS_KEY n'existent pas dans les environnements de projet Codebuild. AWS Ne stockez pas ces variables en clair. Le stockage de ces variables en clair entraîne une exposition involontaire des données et un accès non autorisé. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Assurez-vous que l'URL du référentiel source GitHub ou de Bitbucket ne contient pas de jetons d'accès personnels ni d'identifiants de connexion dans les environnements de projet AWS Codebuild. Utilisez OAuth au lieu de jetons d'accès personnels ou d'identifiants de connexion pour autoriser l'accès aux GitHub référentiels Bitbucket. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | La fonctionnalité de sauvegarde d'Amazon RDS crée des sauvegardes de vos bases de données et de vos journaux de transactions. Amazon RDS crée automatiquement un instantané du volume de stockage de votre instance de base de données, en sauvegardant l'intégralité de cette dernière. Le système vous permet de définir des périodes de conservation spécifiques pour répondre à vos exigences de résilience. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Amazon DynamoDB Auto Scaling AWS utilise le service Application Auto Scaling pour ajuster la capacité de débit allouée afin de répondre automatiquement aux modèles de trafic réels. Cela permet à une table ou à un index secondaire global d'augmenter sa capacité de lecture/d'écriture approvisionnée afin de gérer les hausses soudaines de trafic sans limitation. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Activez cette règle pour vérifier que les informations ont été sauvegardées. Il gère également les sauvegardes en s'assurant que la point-in-time restauration est activée dans Amazon DynamoDB. La récupération permet de maintenir des sauvegardes continues de votre table pour les 35 derniers jours. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Activez cette règle pour vous assurer que la capacité de débit allouée est vérifiée sur vos tables Amazon DynamoDB. Il s'agit du volume d'activité de lecture/d'écriture que chaque table peut prendre en charge. DynamoDB utilise ces informations pour réserver des ressources système suffisantes pour répondre à vos exigences de débit. Cette règle génère une alerte lorsque le débit approche de la limite maximale pour le compte d'un client. Cette règle vous permet de définir éventuellement les paramètres AccountRCU (ThresholdPercentage Config Default : 80) et AccountWCU ThresholdPercentage (Config Default : 80). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Activez cette règle pour faciliter la configuration de référence des instances Amazon Elastic Compute Cloud (Amazon EC2) en vérifiant si les instances Amazon EC2 ont été arrêtées pendant un nombre de jours supérieur au nombre autorisé, conformément aux normes de votre organisation. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour votre Amazon Elastic File System (EFS). | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Lorsque les sauvegardes automatiques sont activées, Amazon ElastiCache crée une sauvegarde du cluster quotidiennement. La sauvegarde peut être conservée pendant un nombre de jours défini par votre organisation. Les sauvegardes automatiques peuvent constituer une protection contre la perte de données. En cas de défaillance, vous pouvez créer un nouveau cluster, ce qui restaurera vos données à partir de la sauvegarde la plus récente. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch OpenSearch Service (Service). | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch Service. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Cette règle garantit que la protection contre la suppression est activée pour Elastic Load Balancing. Utilisez cette fonctionnalité pour empêcher la suppression accidentelle ou malveillante de votre équilibreur de charge, ce qui pourrait entraîner une perte de disponibilité pour vos applications. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les passerelles Internet ne sont connectées qu'à Amazon Virtual Private Cloud (Amazon VPC) autorisé. Les passerelles Internet permettent un accès bidirectionnel à Internet depuis et vers le réseau Amazon VPC, ce qui peut potentiellement entraîner un accès non autorisé aux ressources Amazon VPC. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Pour protéger les données au repos, assurez-vous que la suppression des clés principales du client (CMK) nécessaires n'est pas planifiée dans le service de gestion des AWS clés (AWS KMS). La suppression de clés étant parfois nécessaire, cette règle peut aider à vérifier toutes les clés dont la suppression est prévue, au cas où la suppression d'une clé aurait été planifiée par inadvertance. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | La prise en charge multi-AZ dans Amazon Relational Database Service (Amazon RDS) offre une disponibilité et une durabilité améliorées pour les instances de base de données. Lorsque vous mettez en service une instance de base de données multi-AZ, Amazon RDS crée automatiquement une instance de base de données principale et réplique de manière synchrone les données vers une instance de secours dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos dans les instances Amazon RDS, activez le chiffrement au repos pour protéger ces données. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Assurez-vous que le verrouillage est activé par défaut dans votre compartiment Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments S3, appliquez le verrouillage d'objet au repos pour protéger ces données. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker terminal. Étant donné que les données sensibles peuvent exister au repos sur le SageMaker terminal, activez le chiffrement au repos pour protéger ces données. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker ordinateur portable. Étant donné que des données sensibles peuvent exister au repos dans le SageMaker bloc-notes, activez le chiffrement au repos pour protéger ces données. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Pour protéger les données au repos, assurez-vous que vos rubriques Amazon Simple Notification Service (Amazon SNS) nécessitent un chiffrement à l' AWS aide du Key Management Service AWS (KMS). Comme il peut y avoir des données sensibles au repos dans les messages publiés, activez le chiffrement au repos pour protéger ces données. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Des tunnels Site-to-Site VPN redondants peuvent être mis en œuvre pour répondre aux exigences de résilience. Deux tunnels sont utilisés pour garantir la connectivité au cas où l'une des connexions Site-to-Site VPN deviendrait indisponible. Pour bénéficier d'une protection contre la perte de connectivité en cas d'indisponibilité de votre passerelle client, vous pouvez configurer une seconde connexion Site-to-Site VPN vers votre réseau Amazon Virtual Private Cloud (Amazon VPC) et votre passerelle privée virtuelle en ajoutant une seconde passerelle client. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Activez cette règle pour faciliter l'identification et la documentation des vulnérabilités d'Amazon Elastic Compute Cloud (Amazon EC2). La règle vérifie si les correctifs d'instance Amazon EC2 sont conformes dans AWS Systems Manager conformément aux politiques et procédures de votre entreprise. | |
164.308(a)(1)(ii)(B) | (B) Gestion des risques (obligatoire). Mettez en œuvre des mesures de sécurité appropriées pour suffisamment et correctement réduire les risques et les vulnérabilités conformément à la section 164.306(a). | Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des niveaux de référence pour les niveaux de correctifs du système d'exploitation, les installations de logiciels, les configurations d'applications et d'autres informations relatives à votre environnement. | |
164.308(a)(3)(i) | (3)(i) Norme : sécurité de la main-d'œuvre. Mettez en œuvre des politiques et des procédures pour garantir que l'ensemble de la main-d'œuvre peut correctement accéder aux informations électroniques protégées sur la santé, comme indiqué dans le paragraphe (a)(4) de la présente section, et pour empêcher les membres de la main-d'œuvre qui n'ont pas accès aux informations électroniques protégées sur la santé, conformément au paragraphe (a)(4) de la présente section, d'y accéder. | Assurez-vous que la méthode Service des métadonnées d'instance Version 2 (IMDSv2) est activée pour protéger l'accès aux métadonnées d'instance Amazon Elastic Compute Cloud (Amazon EC2) et leur contrôle. La méthode IMDSv2 utilise des contrôles basés sur la session. Avec IMDSv2, des contrôles peuvent être mis en œuvre pour limiter les modifications apportées aux métadonnées des instances. | |
164.308(a)(3)(i) | (3)(i) Norme : sécurité de la main-d'œuvre. Mettez en œuvre des politiques et des procédures pour garantir que l'ensemble de la main-d'œuvre peut correctement accéder aux informations électroniques protégées sur la santé, comme indiqué dans le paragraphe (a)(4) de la présente section, et pour empêcher les membres de la main-d'œuvre qui n'ont pas accès aux informations électroniques protégées sur la santé, conformément au paragraphe (a)(4) de la présente section, d'y accéder. | Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal. | |
164.308(a)(3)(i) | (3)(i) Norme : sécurité de la main-d'œuvre. Mettez en œuvre des politiques et des procédures pour garantir que l'ensemble de la main-d'œuvre peut correctement accéder aux informations électroniques protégées sur la santé, comme indiqué dans le paragraphe (a)(4) de la présente section, et pour empêcher les membres de la main-d'œuvre qui n'ont pas accès aux informations électroniques protégées sur la santé, conformément au paragraphe (a)(4) de la présente section, d'y accéder. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation | |
164.308(a)(3)(i) | (3)(i) Norme : sécurité de la main-d'œuvre. Mettez en œuvre des politiques et des procédures pour garantir que l'ensemble de la main-d'œuvre peut correctement accéder aux informations électroniques protégées sur la santé, comme indiqué dans le paragraphe (a)(4) de la présente section, et pour empêcher les membres de la main-d'œuvre qui n'ont pas accès aux informations électroniques protégées sur la santé, conformément au paragraphe (a)(4) de la présente section, d'y accéder. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation. | |
164.308(a)(3)(i) | (3)(i) Norme : sécurité de la main-d'œuvre. Mettez en œuvre des politiques et des procédures pour garantir que l'ensemble de la main-d'œuvre peut correctement accéder aux informations électroniques protégées sur la santé, comme indiqué dans le paragraphe (a)(4) de la présente section, et pour empêcher les membres de la main-d'œuvre qui n'ont pas accès aux informations électroniques protégées sur la santé, conformément au paragraphe (a)(4) de la présente section, d'y accéder. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
164.308(a)(3)(i) | (3)(i) Norme : sécurité de la main-d'œuvre. Mettez en œuvre des politiques et des procédures pour garantir que l'ensemble de la main-d'œuvre peut correctement accéder aux informations électroniques protégées sur la santé, comme indiqué dans le paragraphe (a)(4) de la présente section, et pour empêcher les membres de la main-d'œuvre qui n'ont pas accès aux informations électroniques protégées sur la santé, conformément au paragraphe (a)(4) de la présente section, d'y accéder. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
164.308(a)(3)(i) | (3)(i) Norme : sécurité de la main-d'œuvre. Mettez en œuvre des politiques et des procédures pour garantir que l'ensemble de la main-d'œuvre peut correctement accéder aux informations électroniques protégées sur la santé, comme indiqué dans le paragraphe (a)(4) de la présente section, et pour empêcher les membres de la main-d'œuvre qui n'ont pas accès aux informations électroniques protégées sur la santé, conformément au paragraphe (a)(4) de la présente section, d'y accéder. | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité. | |
164.308(a)(3)(i) | (3)(i) Norme : sécurité de la main-d'œuvre. Mettez en œuvre des politiques et des procédures pour garantir que l'ensemble de la main-d'œuvre peut correctement accéder aux informations électroniques protégées sur la santé, comme indiqué dans le paragraphe (a)(4) de la présente section, et pour empêcher les membres de la main-d'œuvre qui n'ont pas accès aux informations électroniques protégées sur la santé, conformément au paragraphe (a)(4) de la présente section, d'y accéder. | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
164.308(a)(3)(i) | (3)(i) Norme : sécurité de la main-d'œuvre. Mettez en œuvre des politiques et des procédures pour garantir que l'ensemble de la main-d'œuvre peut correctement accéder aux informations électroniques protégées sur la santé, comme indiqué dans le paragraphe (a)(4) de la présente section, et pour empêcher les membres de la main-d'œuvre qui n'ont pas accès aux informations électroniques protégées sur la santé, conformément au paragraphe (a)(4) de la présente section, d'y accéder. | AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
164.308(a)(3)(i) | (3)(i) Norme : sécurité de la main-d'œuvre. Mettez en œuvre des politiques et des procédures pour garantir que l'ensemble de la main-d'œuvre peut correctement accéder aux informations électroniques protégées sur la santé, comme indiqué dans le paragraphe (a)(4) de la présente section, et pour empêcher les membres de la main-d'œuvre qui n'ont pas accès aux informations électroniques protégées sur la santé, conformément au paragraphe (a)(4) de la présente section, d'y accéder. | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
164.308(a)(3)(i) | (3)(i) Norme : sécurité de la main-d'œuvre. Mettez en œuvre des politiques et des procédures pour garantir que l'ensemble de la main-d'œuvre peut correctement accéder aux informations électroniques protégées sur la santé, comme indiqué dans le paragraphe (a)(4) de la présente section, et pour empêcher les membres de la main-d'œuvre qui n'ont pas accès aux informations électroniques protégées sur la santé, conformément au paragraphe (a)(4) de la présente section, d'y accéder. | Les profils d'instance EC2 transmettent un rôle IAM à une instance EC2. L'association d'un profil d'instance à vos instances peut faciliter la gestion du moindre privilège et des autorisations. | |
164.308(a)(3)(i) | (3)(i) Norme : sécurité de la main-d'œuvre. Mettez en œuvre des politiques et des procédures pour garantir que l'ensemble de la main-d'œuvre peut correctement accéder aux informations électroniques protégées sur la santé, comme indiqué dans le paragraphe (a)(4) de la présente section, et pour empêcher les membres de la main-d'œuvre qui n'ont pas accès aux informations électroniques protégées sur la santé, conformément au paragraphe (a)(4) de la présente section, d'y accéder. | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
164.308(a)(3)(i) | (3)(i) Norme : sécurité de la main-d'œuvre. Mettez en œuvre des politiques et des procédures pour garantir que l'ensemble de la main-d'œuvre peut correctement accéder aux informations électroniques protégées sur la santé, comme indiqué dans le paragraphe (a)(4) de la présente section, et pour empêcher les membres de la main-d'œuvre qui n'ont pas accès aux informations électroniques protégées sur la santé, conformément au paragraphe (a)(4) de la présente section, d'y accéder. | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
164.308(a)(3)(i) | (3)(i) Norme : sécurité de la main-d'œuvre. Mettez en œuvre des politiques et des procédures pour garantir que l'ensemble de la main-d'œuvre peut correctement accéder aux informations électroniques protégées sur la santé, comme indiqué dans le paragraphe (a)(4) de la présente section, et pour empêcher les membres de la main-d'œuvre qui n'ont pas accès aux informations électroniques protégées sur la santé, conformément au paragraphe (a)(4) de la présente section, d'y accéder. | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
164.308(a)(3)(i) | (3)(i) Norme : sécurité de la main-d'œuvre. Mettez en œuvre des politiques et des procédures pour garantir que l'ensemble de la main-d'œuvre peut correctement accéder aux informations électroniques protégées sur la santé, comme indiqué dans le paragraphe (a)(4) de la présente section, et pour empêcher les membres de la main-d'œuvre qui n'ont pas accès aux informations électroniques protégées sur la santé, conformément au paragraphe (a)(4) de la présente section, d'y accéder. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
164.308(a)(3)(i) | (3)(i) Norme : sécurité de la main-d'œuvre. Mettez en œuvre des politiques et des procédures pour garantir que l'ensemble de la main-d'œuvre peut correctement accéder aux informations électroniques protégées sur la santé, comme indiqué dans le paragraphe (a)(4) de la présente section, et pour empêcher les membres de la main-d'œuvre qui n'ont pas accès aux informations électroniques protégées sur la santé, conformément au paragraphe (a)(4) de la présente section, d'y accéder. | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
164.308(a)(3)(i) | (3)(i) Norme : sécurité de la main-d'œuvre. Mettez en œuvre des politiques et des procédures pour garantir que l'ensemble de la main-d'œuvre peut correctement accéder aux informations électroniques protégées sur la santé, comme indiqué dans le paragraphe (a)(4) de la présente section, et pour empêcher les membres de la main-d'œuvre qui n'ont pas accès aux informations électroniques protégées sur la santé, conformément au paragraphe (a)(4) de la présente section, d'y accéder. | Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès. | |
164.308(a)(3)(i) | (3)(i) Norme : sécurité de la main-d'œuvre. Mettez en œuvre des politiques et des procédures pour garantir que l'ensemble de la main-d'œuvre peut correctement accéder aux informations électroniques protégées sur la santé, comme indiqué dans le paragraphe (a)(4) de la présente section, et pour empêcher les membres de la main-d'œuvre qui n'ont pas accès aux informations électroniques protégées sur la santé, conformément au paragraphe (a)(4) de la présente section, d'y accéder. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les passerelles Internet ne sont connectées qu'à Amazon Virtual Private Cloud (Amazon VPC) autorisé. Les passerelles Internet permettent un accès bidirectionnel à Internet depuis et vers le réseau Amazon VPC, ce qui peut potentiellement entraîner un accès non autorisé aux ressources Amazon VPC. | |
164.308(a)(3)(i) | (3)(i) Norme : sécurité de la main-d'œuvre. Mettez en œuvre des politiques et des procédures pour garantir que l'ensemble de la main-d'œuvre peut correctement accéder aux informations électroniques protégées sur la santé, comme indiqué dans le paragraphe (a)(4) de la présente section, et pour empêcher les membres de la main-d'œuvre qui n'ont pas accès aux informations électroniques protégées sur la santé, conformément au paragraphe (a)(4) de la présente section, d'y accéder. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
164.308(a)(3)(i) | (3)(i) Norme : sécurité de la main-d'œuvre. Mettez en œuvre des politiques et des procédures pour garantir que l'ensemble de la main-d'œuvre peut correctement accéder aux informations électroniques protégées sur la santé, comme indiqué dans le paragraphe (a)(4) de la présente section, et pour empêcher les membres de la main-d'œuvre qui n'ont pas accès aux informations électroniques protégées sur la santé, conformément au paragraphe (a)(4) de la présente section, d'y accéder. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
164.308(a)(3)(i) | (3)(i) Norme : sécurité de la main-d'œuvre. Mettez en œuvre des politiques et des procédures pour garantir que l'ensemble de la main-d'œuvre peut correctement accéder aux informations électroniques protégées sur la santé, comme indiqué dans le paragraphe (a)(4) de la présente section, et pour empêcher les membres de la main-d'œuvre qui n'ont pas accès aux informations électroniques protégées sur la santé, conformément au paragraphe (a)(4) de la présente section, d'y accéder. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
164.308(a)(3)(i) | (3)(i) Norme : sécurité de la main-d'œuvre. Mettez en œuvre des politiques et des procédures pour garantir que l'ensemble de la main-d'œuvre peut correctement accéder aux informations électroniques protégées sur la santé, comme indiqué dans le paragraphe (a)(4) de la présente section, et pour empêcher les membres de la main-d'œuvre qui n'ont pas accès aux informations électroniques protégées sur la santé, conformément au paragraphe (a)(4) de la présente section, d'y accéder. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
164.308(a)(3)(i) | (3)(i) Norme : sécurité de la main-d'œuvre. Mettez en œuvre des politiques et des procédures pour garantir que l'ensemble de la main-d'œuvre peut correctement accéder aux informations électroniques protégées sur la santé, comme indiqué dans le paragraphe (a)(4) de la présente section, et pour empêcher les membres de la main-d'œuvre qui n'ont pas accès aux informations électroniques protégées sur la santé, conformément au paragraphe (a)(4) de la présente section, d'y accéder. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
164.308(a)(3)(i) | (3)(i) Norme : sécurité de la main-d'œuvre. Mettez en œuvre des politiques et des procédures pour garantir que l'ensemble de la main-d'œuvre peut correctement accéder aux informations électroniques protégées sur la santé, comme indiqué dans le paragraphe (a)(4) de la présente section, et pour empêcher les membres de la main-d'œuvre qui n'ont pas accès aux informations électroniques protégées sur la santé, conformément au paragraphe (a)(4) de la présente section, d'y accéder. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
164.308(a)(3)(i) | (3)(i) Norme : sécurité de la main-d'œuvre. Mettez en œuvre des politiques et des procédures pour garantir que l'ensemble de la main-d'œuvre peut correctement accéder aux informations électroniques protégées sur la santé, comme indiqué dans le paragraphe (a)(4) de la présente section, et pour empêcher les membres de la main-d'œuvre qui n'ont pas accès aux informations électroniques protégées sur la santé, conformément au paragraphe (a)(4) de la présente section, d'y accéder. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
164.308(a)(3)(i) | (3)(i) Norme : sécurité de la main-d'œuvre. Mettez en œuvre des politiques et des procédures pour garantir que l'ensemble de la main-d'œuvre peut correctement accéder aux informations électroniques protégées sur la santé, comme indiqué dans le paragraphe (a)(4) de la présente section, et pour empêcher les membres de la main-d'œuvre qui n'ont pas accès aux informations électroniques protégées sur la santé, conformément au paragraphe (a)(4) de la présente section, d'y accéder. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
164.308(a)(3)(i) | (3)(i) Norme : sécurité de la main-d'œuvre. Mettez en œuvre des politiques et des procédures pour garantir que l'ensemble de la main-d'œuvre peut correctement accéder aux informations électroniques protégées sur la santé, comme indiqué dans le paragraphe (a)(4) de la présente section, et pour empêcher les membres de la main-d'œuvre qui n'ont pas accès aux informations électroniques protégées sur la santé, conformément au paragraphe (a)(4) de la présente section, d'y accéder. | Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale. | |
164.308(a)(3)(i) | (3)(i) Norme : sécurité de la main-d'œuvre. Mettez en œuvre des politiques et des procédures pour garantir que l'ensemble de la main-d'œuvre peut correctement accéder aux informations électroniques protégées sur la santé, comme indiqué dans le paragraphe (a)(4) de la présente section, et pour empêcher les membres de la main-d'œuvre qui n'ont pas accès aux informations électroniques protégées sur la santé, conformément au paragraphe (a)(4) de la présente section, d'y accéder. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
164.308(a)(3)(i) | (3)(i) Norme : sécurité de la main-d'œuvre. Mettez en œuvre des politiques et des procédures pour garantir que l'ensemble de la main-d'œuvre peut correctement accéder aux informations électroniques protégées sur la santé, comme indiqué dans le paragraphe (a)(4) de la présente section, et pour empêcher les membres de la main-d'œuvre qui n'ont pas accès aux informations électroniques protégées sur la santé, conformément au paragraphe (a)(4) de la présente section, d'y accéder. | Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges. | |
164.308(a)(3)(i) | (3)(i) Norme : sécurité de la main-d'œuvre. Mettez en œuvre des politiques et des procédures pour garantir que l'ensemble de la main-d'œuvre peut correctement accéder aux informations électroniques protégées sur la santé, comme indiqué dans le paragraphe (a)(4) de la présente section, et pour empêcher les membres de la main-d'œuvre qui n'ont pas accès aux informations électroniques protégées sur la santé, conformément au paragraphe (a)(4) de la présente section, d'y accéder. | L'activation de l'accès en lecture seule aux conteneurs Amazon Elastic Container Service (ECS) permet de respecter le principe du moindre privilège. Cette option peut réduire les vecteurs d'attaque, car le système de fichiers de l'instance de conteneur ne peut être modifié que s'il dispose d'autorisations explicites de lecture et d'écriture. | |
164.308(a)(3)(i) | (3)(i) Norme : sécurité de la main-d'œuvre. Mettez en œuvre des politiques et des procédures pour garantir que l'ensemble de la main-d'œuvre peut correctement accéder aux informations électroniques protégées sur la santé, comme indiqué dans le paragraphe (a)(4) de la présente section, et pour empêcher les membres de la main-d'œuvre qui n'ont pas accès aux informations électroniques protégées sur la santé, conformément au paragraphe (a)(4) de la présente section, d'y accéder. | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
164.308(a)(3)(i) | (3)(i) Norme : sécurité de la main-d'œuvre. Mettez en œuvre des politiques et des procédures pour garantir que l'ensemble de la main-d'œuvre peut correctement accéder aux informations électroniques protégées sur la santé, comme indiqué dans le paragraphe (a)(4) de la présente section, et pour empêcher les membres de la main-d'œuvre qui n'ont pas accès aux informations électroniques protégées sur la santé, conformément au paragraphe (a)(4) de la présente section, d'y accéder. | Cette règle vérifie si les listes de contrôle d'accès (ACL) sont utilisées pour contrôler l'accès aux compartiments Amazon S3. Les ACL sont des mécanismes de contrôle d'accès existants pour les compartiments Amazon S3 antérieurs à AWS Identity and Access Management (IAM). Au lieu d'utiliser des listes ACL, il est recommandé d'utiliser des politiques IAM ou des politiques de compartiment S3 pour gérer plus facilement l'accès à vos compartiments S3. | |
164.308(a)(3)(i) | (3)(i) Norme : sécurité de la main-d'œuvre. Mettez en œuvre des politiques et des procédures pour garantir que l'ensemble de la main-d'œuvre peut correctement accéder aux informations électroniques protégées sur la santé, comme indiqué dans le paragraphe (a)(4) de la présente section, et pour empêcher les membres de la main-d'œuvre qui n'ont pas accès aux informations électroniques protégées sur la santé, conformément au paragraphe (a)(4) de la présente section, d'y accéder. | Assurez-vous que les informations d'authentification AWS_ACCESS_KEY_ID et AWS_SECRET_ACCESS_KEY n'existent pas dans les environnements de projet Codebuild. AWS Ne stockez pas ces variables en clair. Le stockage de ces variables en clair entraîne une exposition involontaire des données et un accès non autorisé. | |
164.308(a)(3)(i) | (3)(i) Norme : sécurité de la main-d'œuvre. Mettez en œuvre des politiques et des procédures pour garantir que l'ensemble de la main-d'œuvre peut correctement accéder aux informations électroniques protégées sur la santé, comme indiqué dans le paragraphe (a)(4) de la présente section, et pour empêcher les membres de la main-d'œuvre qui n'ont pas accès aux informations électroniques protégées sur la santé, conformément au paragraphe (a)(4) de la présente section, d'y accéder. | Assurez-vous que l'URL du référentiel source GitHub ou de Bitbucket ne contient pas de jetons d'accès personnels ni d'identifiants de connexion dans les environnements de projet AWS Codebuild. Utilisez OAuth au lieu de jetons d'accès personnels ou d'identifiants de connexion pour autoriser l'accès aux GitHub référentiels Bitbucket. | |
164.308(a)(3)(i) | (3)(i) Norme : sécurité de la main-d'œuvre. Mettez en œuvre des politiques et des procédures pour garantir que l'ensemble de la main-d'œuvre peut correctement accéder aux informations électroniques protégées sur la santé, comme indiqué dans le paragraphe (a)(4) de la présente section, et pour empêcher les membres de la main-d'œuvre qui n'ont pas accès aux informations électroniques protégées sur la santé, conformément au paragraphe (a)(4) de la présente section, d'y accéder. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
164.308(a)(3)(i) | (3)(i) Norme : sécurité de la main-d'œuvre. Mettez en œuvre des politiques et des procédures pour garantir que l'ensemble de la main-d'œuvre peut correctement accéder aux informations électroniques protégées sur la santé, comme indiqué dans le paragraphe (a)(4) de la présente section, et pour empêcher les membres de la main-d'œuvre qui n'ont pas accès aux informations électroniques protégées sur la santé, conformément au paragraphe (a)(4) de la présente section, d'y accéder. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
164.308(a)(3)(i) | (3)(i) Norme : sécurité de la main-d'œuvre. Mettez en œuvre des politiques et des procédures pour garantir que l'ensemble de la main-d'œuvre peut correctement accéder aux informations électroniques protégées sur la santé, comme indiqué dans le paragraphe (a)(4) de la présente section, et pour empêcher les membres de la main-d'œuvre qui n'ont pas accès aux informations électroniques protégées sur la santé, conformément au paragraphe (a)(4) de la présente section, d'y accéder. | Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs. | |
164.308(a)(3)(i) | (3)(i) Norme : sécurité de la main-d'œuvre. Mettez en œuvre des politiques et des procédures pour garantir que l'ensemble de la main-d'œuvre peut correctement accéder aux informations électroniques protégées sur la santé, comme indiqué dans le paragraphe (a)(4) de la présente section, et pour empêcher les membres de la main-d'œuvre qui n'ont pas accès aux informations électroniques protégées sur la santé, conformément au paragraphe (a)(4) de la présente section, d'y accéder. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
164.308(a)(3)(ii)(A) | (A) Autorisation et/ou surveillance (adressable). Mettez en œuvre des procédures pour autoriser et/ou surveiller les membres de la main-d'œuvre qui travaillent avec des informations électroniques protégées sur la santé ou dans des lieux où elles sont accessibles. | Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal. | |
164.308(a)(3)(ii)(A) | (A) Autorisation et/ou surveillance (adressable). Mettez en œuvre des procédures pour autoriser et/ou surveiller les membres de la main-d'œuvre qui travaillent avec des informations électroniques protégées sur la santé ou dans des lieux où elles sont accessibles. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation | |
164.308(a)(3)(ii)(A) | (A) Autorisation et/ou surveillance (adressable). Mettez en œuvre des procédures pour autoriser et/ou surveiller les membres de la main-d'œuvre qui travaillent avec des informations électroniques protégées sur la santé ou dans des lieux où elles sont accessibles. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation. | |
164.308(a)(3)(ii)(A) | (A) Autorisation et/ou surveillance (adressable). Mettez en œuvre des procédures pour autoriser et/ou surveiller les membres de la main-d'œuvre qui travaillent avec des informations électroniques protégées sur la santé ou dans des lieux où elles sont accessibles. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
164.308(a)(3)(ii)(A) | (A) Autorisation et/ou surveillance (adressable). Mettez en œuvre des procédures pour autoriser et/ou surveiller les membres de la main-d'œuvre qui travaillent avec des informations électroniques protégées sur la santé ou dans des lieux où elles sont accessibles. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
164.308(a)(3)(ii)(A) | (A) Autorisation et/ou surveillance (adressable). Mettez en œuvre des procédures pour autoriser et/ou surveiller les membres de la main-d'œuvre qui travaillent avec des informations électroniques protégées sur la santé ou dans des lieux où elles sont accessibles. | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
164.308(a)(3)(ii)(A) | (A) Autorisation et/ou surveillance (adressable). Mettez en œuvre des procédures pour autoriser et/ou surveiller les membres de la main-d'œuvre qui travaillent avec des informations électroniques protégées sur la santé ou dans des lieux où elles sont accessibles. | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
164.308(a)(3)(ii)(A) | (A) Autorisation et/ou surveillance (adressable). Mettez en œuvre des procédures pour autoriser et/ou surveiller les membres de la main-d'œuvre qui travaillent avec des informations électroniques protégées sur la santé ou dans des lieux où elles sont accessibles. | Les profils d'instance EC2 transmettent un rôle IAM à une instance EC2. L'association d'un profil d'instance à vos instances peut faciliter la gestion du moindre privilège et des autorisations. | |
164.308(a)(3)(ii)(A) | (A) Autorisation et/ou surveillance (adressable). Mettez en œuvre des procédures pour autoriser et/ou surveiller les membres de la main-d'œuvre qui travaillent avec des informations électroniques protégées sur la santé ou dans des lieux où elles sont accessibles. | Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges. | |
164.308(a)(3)(ii)(A) | (A) Autorisation et/ou surveillance (adressable). Mettez en œuvre des procédures pour autoriser et/ou surveiller les membres de la main-d'œuvre qui travaillent avec des informations électroniques protégées sur la santé ou dans des lieux où elles sont accessibles. | L'activation de l'accès en lecture seule aux conteneurs Amazon Elastic Container Service (ECS) permet de respecter le principe du moindre privilège. Cette option peut réduire les vecteurs d'attaque, car le système de fichiers de l'instance de conteneur ne peut être modifié que s'il dispose d'autorisations explicites de lecture et d'écriture. | |
164.308(a)(3)(ii)(A) | (A) Autorisation et/ou surveillance (adressable). Mettez en œuvre des procédures pour autoriser et/ou surveiller les membres de la main-d'œuvre qui travaillent avec des informations électroniques protégées sur la santé ou dans des lieux où elles sont accessibles. | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS. | |
164.308(a)(3)(ii)(A) | (A) Autorisation et/ou surveillance (adressable). Mettez en œuvre des procédures pour autoriser et/ou surveiller les membres de la main-d'œuvre qui travaillent avec des informations électroniques protégées sur la santé ou dans des lieux où elles sont accessibles. | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
164.308(a)(3)(ii)(A) | (A) Autorisation et/ou surveillance (adressable). Mettez en œuvre des procédures pour autoriser et/ou surveiller les membres de la main-d'œuvre qui travaillent avec des informations électroniques protégées sur la santé ou dans des lieux où elles sont accessibles. | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les Compte AWS informations qui ont accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
164.308(a)(3)(ii)(A) | (A) Autorisation et/ou surveillance (adressable). Mettez en œuvre des procédures pour autoriser et/ou surveiller les membres de la main-d'œuvre qui travaillent avec des informations électroniques protégées sur la santé ou dans des lieux où elles sont accessibles. | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
164.308(a)(3)(ii)(A) | (A) Autorisation et/ou surveillance (adressable). Mettez en œuvre des procédures pour autoriser et/ou surveiller les membres de la main-d'œuvre qui travaillent avec des informations électroniques protégées sur la santé ou dans des lieux où elles sont accessibles. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
164.308(a)(3)(ii)(A) | (A) Autorisation et/ou surveillance (adressable). Mettez en œuvre des procédures pour autoriser et/ou surveiller les membres de la main-d'œuvre qui travaillent avec des informations électroniques protégées sur la santé ou dans des lieux où elles sont accessibles. | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
164.308(a)(3)(ii)(A) | (A) Autorisation et/ou surveillance (adressable). Mettez en œuvre des procédures pour autoriser et/ou surveiller les membres de la main-d'œuvre qui travaillent avec des informations électroniques protégées sur la santé ou dans des lieux où elles sont accessibles. | Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole. | |
164.308(a)(3)(ii)(A) | (A) Autorisation et/ou surveillance (adressable). Mettez en œuvre des procédures pour autoriser et/ou surveiller les membres de la main-d'œuvre qui travaillent avec des informations électroniques protégées sur la santé ou dans des lieux où elles sont accessibles. | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
164.308(a)(3)(ii)(A) | (A) Autorisation et/ou surveillance (adressable). Mettez en œuvre des procédures pour autoriser et/ou surveiller les membres de la main-d'œuvre qui travaillent avec des informations électroniques protégées sur la santé ou dans des lieux où elles sont accessibles. | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
164.308(a)(3)(ii)(B) | (B) Procédure d'approbation de la main-d'œuvre (adressable). Mettez en œuvre des procédures pour déterminer si l'accès d'un membre de la main-d'œuvre aux informations électroniques protégées sur la santé est légitime. | Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal. | |
164.308(a)(3)(ii)(B) | (B) Procédure d'approbation de la main-d'œuvre (adressable). Mettez en œuvre des procédures pour déterminer si l'accès d'un membre de la main-d'œuvre aux informations électroniques protégées sur la santé est légitime. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
164.308(a)(3)(ii)(B) | (B) Procédure d'approbation de la main-d'œuvre (adressable). Mettez en œuvre des procédures pour déterminer si l'accès d'un membre de la main-d'œuvre aux informations électroniques protégées sur la santé est légitime. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
164.308(a)(3)(ii)(B) | (B) Procédure d'approbation de la main-d'œuvre (adressable). Mettez en œuvre des procédures pour déterminer si l'accès d'un membre de la main-d'œuvre aux informations électroniques protégées sur la santé est légitime. | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
164.308(a)(3)(ii)(B) | (B) Procédure d'approbation de la main-d'œuvre (adressable). Mettez en œuvre des procédures pour déterminer si l'accès d'un membre de la main-d'œuvre aux informations électroniques protégées sur la santé est légitime. | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
164.308(a)(3)(ii)(B) | (B) Procédure d'approbation de la main-d'œuvre (adressable). Mettez en œuvre des procédures pour déterminer si l'accès d'un membre de la main-d'œuvre aux informations électroniques protégées sur la santé est légitime. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
164.308(a)(3)(ii)(B) | (B) Procédure d'approbation de la main-d'œuvre (adressable). Mettez en œuvre des procédures pour déterminer si l'accès d'un membre de la main-d'œuvre aux informations électroniques protégées sur la santé est légitime. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
164.308(a)(3)(ii)(B) | (B) Procédure d'approbation de la main-d'œuvre (adressable). Mettez en œuvre des procédures pour déterminer si l'accès d'un membre de la main-d'œuvre aux informations électroniques protégées sur la santé est légitime. | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
164.308(a)(3)(ii)(B) | (B) Procédure d'approbation de la main-d'œuvre (adressable). Mettez en œuvre des procédures pour déterminer si l'accès d'un membre de la main-d'œuvre aux informations électroniques protégées sur la santé est légitime. | L'activation de l'accès en lecture seule aux conteneurs Amazon Elastic Container Service (ECS) permet de respecter le principe du moindre privilège. Cette option peut réduire les vecteurs d'attaque, car le système de fichiers de l'instance de conteneur ne peut être modifié que s'il dispose d'autorisations explicites de lecture et d'écriture. | |
164.308(a)(3)(ii)(B) | (B) Procédure d'approbation de la main-d'œuvre (adressable). Mettez en œuvre des procédures pour déterminer si l'accès d'un membre de la main-d'œuvre aux informations électroniques protégées sur la santé est légitime. | Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs. | |
164.308(a)(3)(ii)(B) | (B) Procédure d'approbation de la main-d'œuvre (adressable). Mettez en œuvre des procédures pour déterminer si l'accès d'un membre de la main-d'œuvre aux informations électroniques protégées sur la santé est légitime. | Cette règle vérifie si les listes de contrôle d'accès (ACL) sont utilisées pour contrôler l'accès aux compartiments Amazon S3. Les ACL sont des mécanismes de contrôle d'accès existants pour les compartiments Amazon S3 antérieurs à AWS Identity and Access Management (IAM). Au lieu d'utiliser des listes ACL, il est recommandé d'utiliser des politiques IAM ou des politiques de compartiment S3 pour gérer plus facilement l'accès à vos compartiments S3. | |
164.308(a)(3)(ii)(C) | (C) Procédures de résiliation (adressables). Mettez en œuvre des procédures pour résilier l'accès aux informations électroniques protégées sur la santé lorsque le contrat d'un membre de la main-d'œuvre prend fin ou selon une décision prise conformément au paragraphe (a)(3)(ii)(B) de la présente section. | Les informations d'identification sont auditées pour les appareils, les utilisateurs et les processus autorisés en veillant à ce que les clés d'accès IAM soient alternées conformément à la politique de l'organisation. La modification régulière des clés d'accès est une bonne pratique de sécurité. Cela permet de raccourcir la période pendant laquelle une clé d'accès est active et de réduire l'impact commercial en cas de compromission des clés. Cette règle nécessite une valeur de rotation des clés d'accès (configuration par défaut : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
164.308(a)(4)(i) | (4)(i) Norme : gestion de l'accès aux informations. Mettez en œuvre des politiques et des procédures pour autoriser l'accès aux informations électroniques protégées sur la santé conformément aux exigences applicables de la sous-partie E de la présente section. | Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal. | |
164.308(a)(4)(i) | (4)(i) Norme : gestion de l'accès aux informations. Mettez en œuvre des politiques et des procédures pour autoriser l'accès aux informations électroniques protégées sur la santé conformément aux exigences applicables de la sous-partie E de la présente section. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
164.308(a)(4)(i) | (4)(i) Norme : gestion de l'accès aux informations. Mettez en œuvre des politiques et des procédures pour autoriser l'accès aux informations électroniques protégées sur la santé conformément aux exigences applicables de la sous-partie E de la présente section. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
164.308(a)(4)(i) | (4)(i) Norme : gestion de l'accès aux informations. Mettez en œuvre des politiques et des procédures pour autoriser l'accès aux informations électroniques protégées sur la santé conformément aux exigences applicables de la sous-partie E de la présente section. | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
164.308(a)(4)(i) | (4)(i) Norme : gestion de l'accès aux informations. Mettez en œuvre des politiques et des procédures pour autoriser l'accès aux informations électroniques protégées sur la santé conformément aux exigences applicables de la sous-partie E de la présente section. | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
164.308(a)(4)(i) | (4)(i) Norme : gestion de l'accès aux informations. Mettez en œuvre des politiques et des procédures pour autoriser l'accès aux informations électroniques protégées sur la santé conformément aux exigences applicables de la sous-partie E de la présente section. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
164.308(a)(4)(i) | (4)(i) Norme : gestion de l'accès aux informations. Mettez en œuvre des politiques et des procédures pour autoriser l'accès aux informations électroniques protégées sur la santé conformément aux exigences applicables de la sous-partie E de la présente section. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
164.308(a)(4)(i) | (4)(i) Norme : gestion de l'accès aux informations. Mettez en œuvre des politiques et des procédures pour autoriser l'accès aux informations électroniques protégées sur la santé conformément aux exigences applicables de la sous-partie E de la présente section. | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
164.308(a)(4)(i) | (4)(i) Norme : gestion de l'accès aux informations. Mettez en œuvre des politiques et des procédures pour autoriser l'accès aux informations électroniques protégées sur la santé conformément aux exigences applicables de la sous-partie E de la présente section. | L'activation de l'accès en lecture seule aux conteneurs Amazon Elastic Container Service (ECS) permet de respecter le principe du moindre privilège. Cette option peut réduire les vecteurs d'attaque, car le système de fichiers de l'instance de conteneur ne peut être modifié que s'il dispose d'autorisations explicites de lecture et d'écriture. | |
164.308(a)(4)(i) | (4)(i) Norme : gestion de l'accès aux informations. Mettez en œuvre des politiques et des procédures pour autoriser l'accès aux informations électroniques protégées sur la santé conformément aux exigences applicables de la sous-partie E de la présente section. | Cette règle vérifie si les listes de contrôle d'accès (ACL) sont utilisées pour contrôler l'accès aux compartiments Amazon S3. Les ACL sont des mécanismes de contrôle d'accès existants pour les compartiments Amazon S3 antérieurs à AWS Identity and Access Management (IAM). Au lieu d'utiliser des listes ACL, il est recommandé d'utiliser des politiques IAM ou des politiques de compartiment S3 pour gérer plus facilement l'accès à vos compartiments S3. | |
164.308(a)(4)(ii)(A) | (A) Isolement des fonctions du centre d'échange d'informations sur les soins de santé (obligatoire). Si un centre d'échange d'informations sur les soins de santé fait partie d'une vaste organisation, le centre d'échange doit mettre en œuvre des politiques et des procédures qui protègent ses informations électroniques protégées sur la santé de tout accès non autorisé par d'autres filiales de l'organisation. | Assurez-vous que la méthode Service des métadonnées d'instance Version 2 (IMDSv2) est activée pour protéger l'accès aux métadonnées d'instance Amazon Elastic Compute Cloud (Amazon EC2) et leur contrôle. La méthode IMDSv2 utilise des contrôles basés sur la session. Avec IMDSv2, des contrôles peuvent être mis en œuvre pour limiter les modifications apportées aux métadonnées des instances. | |
164.308(a)(4)(ii)(A) | (A) Isolement des fonctions du centre d'échange d'informations sur les soins de santé (obligatoire). Si un centre d'échange d'informations sur les soins de santé fait partie d'une vaste organisation, le centre d'échange doit mettre en œuvre des politiques et des procédures qui protègent ses informations électroniques protégées sur la santé de tout accès non autorisé par d'autres filiales de l'organisation. | Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal. | |
164.308(a)(4)(ii)(A) | (A) Isolement des fonctions du centre d'échange d'informations sur les soins de santé (obligatoire). Si un centre d'échange d'informations sur les soins de santé fait partie d'une vaste organisation, le centre d'échange doit mettre en œuvre des politiques et des procédures qui protègent ses informations électroniques protégées sur la santé de tout accès non autorisé par d'autres filiales de l'organisation. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation | |
164.308(a)(4)(ii)(A) | (A) Isolement des fonctions du centre d'échange d'informations sur les soins de santé (obligatoire). Si un centre d'échange d'informations sur les soins de santé fait partie d'une vaste organisation, le centre d'échange doit mettre en œuvre des politiques et des procédures qui protègent ses informations électroniques protégées sur la santé de tout accès non autorisé par d'autres filiales de l'organisation. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation. | |
164.308(a)(4)(ii)(A) | (A) Isolement des fonctions du centre d'échange d'informations sur les soins de santé (obligatoire). Si un centre d'échange d'informations sur les soins de santé fait partie d'une vaste organisation, le centre d'échange doit mettre en œuvre des politiques et des procédures qui protègent ses informations électroniques protégées sur la santé de tout accès non autorisé par d'autres filiales de l'organisation. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
164.308(a)(4)(ii)(A) | (A) Isolement des fonctions du centre d'échange d'informations sur les soins de santé (obligatoire). Si un centre d'échange d'informations sur les soins de santé fait partie d'une vaste organisation, le centre d'échange doit mettre en œuvre des politiques et des procédures qui protègent ses informations électroniques protégées sur la santé de tout accès non autorisé par d'autres filiales de l'organisation. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
164.308(a)(4)(ii)(A) | (A) Isolement des fonctions du centre d'échange d'informations sur les soins de santé (obligatoire). Si un centre d'échange d'informations sur les soins de santé fait partie d'une vaste organisation, le centre d'échange doit mettre en œuvre des politiques et des procédures qui protègent ses informations électroniques protégées sur la santé de tout accès non autorisé par d'autres filiales de l'organisation. | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité. | |
164.308(a)(4)(ii)(A) | (A) Isolement des fonctions du centre d'échange d'informations sur les soins de santé (obligatoire). Si un centre d'échange d'informations sur les soins de santé fait partie d'une vaste organisation, le centre d'échange doit mettre en œuvre des politiques et des procédures qui protègent ses informations électroniques protégées sur la santé de tout accès non autorisé par d'autres filiales de l'organisation. | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
164.308(a)(4)(ii)(A) | (A) Isolement des fonctions du centre d'échange d'informations sur les soins de santé (obligatoire). Si un centre d'échange d'informations sur les soins de santé fait partie d'une vaste organisation, le centre d'échange doit mettre en œuvre des politiques et des procédures qui protègent ses informations électroniques protégées sur la santé de tout accès non autorisé par d'autres filiales de l'organisation. | AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
164.308(a)(4)(ii)(A) | (A) Isolement des fonctions du centre d'échange d'informations sur les soins de santé (obligatoire). Si un centre d'échange d'informations sur les soins de santé fait partie d'une vaste organisation, le centre d'échange doit mettre en œuvre des politiques et des procédures qui protègent ses informations électroniques protégées sur la santé de tout accès non autorisé par d'autres filiales de l'organisation. | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
164.308(a)(4)(ii)(A) | (A) Isolement des fonctions du centre d'échange d'informations sur les soins de santé (obligatoire). Si un centre d'échange d'informations sur les soins de santé fait partie d'une vaste organisation, le centre d'échange doit mettre en œuvre des politiques et des procédures qui protègent ses informations électroniques protégées sur la santé de tout accès non autorisé par d'autres filiales de l'organisation. | Les profils d'instance EC2 transmettent un rôle IAM à une instance EC2. L'association d'un profil d'instance à vos instances peut faciliter la gestion du moindre privilège et des autorisations. | |
164.308(a)(4)(ii)(A) | (A) Isolement des fonctions du centre d'échange d'informations sur les soins de santé (obligatoire). Si un centre d'échange d'informations sur les soins de santé fait partie d'une vaste organisation, le centre d'échange doit mettre en œuvre des politiques et des procédures qui protègent ses informations électroniques protégées sur la santé de tout accès non autorisé par d'autres filiales de l'organisation. | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
164.308(a)(4)(ii)(A) | (A) Isolement des fonctions du centre d'échange d'informations sur les soins de santé (obligatoire). Si un centre d'échange d'informations sur les soins de santé fait partie d'une vaste organisation, le centre d'échange doit mettre en œuvre des politiques et des procédures qui protègent ses informations électroniques protégées sur la santé de tout accès non autorisé par d'autres filiales de l'organisation. | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
164.308(a)(4)(ii)(A) | (A) Isolement des fonctions du centre d'échange d'informations sur les soins de santé (obligatoire). Si un centre d'échange d'informations sur les soins de santé fait partie d'une vaste organisation, le centre d'échange doit mettre en œuvre des politiques et des procédures qui protègent ses informations électroniques protégées sur la santé de tout accès non autorisé par d'autres filiales de l'organisation. | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
164.308(a)(4)(ii)(A) | (A) Isolement des fonctions du centre d'échange d'informations sur les soins de santé (obligatoire). Si un centre d'échange d'informations sur les soins de santé fait partie d'une vaste organisation, le centre d'échange doit mettre en œuvre des politiques et des procédures qui protègent ses informations électroniques protégées sur la santé de tout accès non autorisé par d'autres filiales de l'organisation. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
164.308(a)(4)(ii)(A) | (A) Isolement des fonctions du centre d'échange d'informations sur les soins de santé (obligatoire). Si un centre d'échange d'informations sur les soins de santé fait partie d'une vaste organisation, le centre d'échange doit mettre en œuvre des politiques et des procédures qui protègent ses informations électroniques protégées sur la santé de tout accès non autorisé par d'autres filiales de l'organisation. | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
164.308(a)(4)(ii)(A) | (A) Isolement des fonctions du centre d'échange d'informations sur les soins de santé (obligatoire). Si un centre d'échange d'informations sur les soins de santé fait partie d'une vaste organisation, le centre d'échange doit mettre en œuvre des politiques et des procédures qui protègent ses informations électroniques protégées sur la santé de tout accès non autorisé par d'autres filiales de l'organisation. | Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès. | |
164.308(a)(4)(ii)(A) | (A) Isolement des fonctions du centre d'échange d'informations sur les soins de santé (obligatoire). Si un centre d'échange d'informations sur les soins de santé fait partie d'une vaste organisation, le centre d'échange doit mettre en œuvre des politiques et des procédures qui protègent ses informations électroniques protégées sur la santé de tout accès non autorisé par d'autres filiales de l'organisation. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les passerelles Internet ne sont connectées qu'à Amazon Virtual Private Cloud (Amazon VPC) autorisé. Les passerelles Internet permettent un accès bidirectionnel à Internet depuis et vers le réseau Amazon VPC, ce qui peut potentiellement entraîner un accès non autorisé aux ressources Amazon VPC. | |
164.308(a)(4)(ii)(A) | (A) Isolement des fonctions du centre d'échange d'informations sur les soins de santé (obligatoire). Si un centre d'échange d'informations sur les soins de santé fait partie d'une vaste organisation, le centre d'échange doit mettre en œuvre des politiques et des procédures qui protègent ses informations électroniques protégées sur la santé de tout accès non autorisé par d'autres filiales de l'organisation. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
164.308(a)(4)(ii)(A) | (A) Isolement des fonctions du centre d'échange d'informations sur les soins de santé (obligatoire). Si un centre d'échange d'informations sur les soins de santé fait partie d'une vaste organisation, le centre d'échange doit mettre en œuvre des politiques et des procédures qui protègent ses informations électroniques protégées sur la santé de tout accès non autorisé par d'autres filiales de l'organisation. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
164.308(a)(4)(ii)(A) | (A) Isolement des fonctions du centre d'échange d'informations sur les soins de santé (obligatoire). Si un centre d'échange d'informations sur les soins de santé fait partie d'une vaste organisation, le centre d'échange doit mettre en œuvre des politiques et des procédures qui protègent ses informations électroniques protégées sur la santé de tout accès non autorisé par d'autres filiales de l'organisation. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
164.308(a)(4)(ii)(A) | (A) Isolement des fonctions du centre d'échange d'informations sur les soins de santé (obligatoire). Si un centre d'échange d'informations sur les soins de santé fait partie d'une vaste organisation, le centre d'échange doit mettre en œuvre des politiques et des procédures qui protègent ses informations électroniques protégées sur la santé de tout accès non autorisé par d'autres filiales de l'organisation. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
164.308(a)(4)(ii)(A) | (A) Isolement des fonctions du centre d'échange d'informations sur les soins de santé (obligatoire). Si un centre d'échange d'informations sur les soins de santé fait partie d'une vaste organisation, le centre d'échange doit mettre en œuvre des politiques et des procédures qui protègent ses informations électroniques protégées sur la santé de tout accès non autorisé par d'autres filiales de l'organisation. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
164.308(a)(4)(ii)(A) | (A) Isolement des fonctions du centre d'échange d'informations sur les soins de santé (obligatoire). Si un centre d'échange d'informations sur les soins de santé fait partie d'une vaste organisation, le centre d'échange doit mettre en œuvre des politiques et des procédures qui protègent ses informations électroniques protégées sur la santé de tout accès non autorisé par d'autres filiales de l'organisation. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
164.308(a)(4)(ii)(A) | (A) Isolement des fonctions du centre d'échange d'informations sur les soins de santé (obligatoire). Si un centre d'échange d'informations sur les soins de santé fait partie d'une vaste organisation, le centre d'échange doit mettre en œuvre des politiques et des procédures qui protègent ses informations électroniques protégées sur la santé de tout accès non autorisé par d'autres filiales de l'organisation. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
164.308(a)(4)(ii)(A) | (A) Isolement des fonctions du centre d'échange d'informations sur les soins de santé (obligatoire). Si un centre d'échange d'informations sur les soins de santé fait partie d'une vaste organisation, le centre d'échange doit mettre en œuvre des politiques et des procédures qui protègent ses informations électroniques protégées sur la santé de tout accès non autorisé par d'autres filiales de l'organisation. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
164.308(a)(4)(ii)(A) | (A) Isolement des fonctions du centre d'échange d'informations sur les soins de santé (obligatoire). Si un centre d'échange d'informations sur les soins de santé fait partie d'une vaste organisation, le centre d'échange doit mettre en œuvre des politiques et des procédures qui protègent ses informations électroniques protégées sur la santé de tout accès non autorisé par d'autres filiales de l'organisation. | Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale. | |
164.308(a)(4)(ii)(A) | (A) Isolement des fonctions du centre d'échange d'informations sur les soins de santé (obligatoire). Si un centre d'échange d'informations sur les soins de santé fait partie d'une vaste organisation, le centre d'échange doit mettre en œuvre des politiques et des procédures qui protègent ses informations électroniques protégées sur la santé de tout accès non autorisé par d'autres filiales de l'organisation. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
164.308(a)(4)(ii)(A) | (A) Isolement des fonctions du centre d'échange d'informations sur les soins de santé (obligatoire). Si un centre d'échange d'informations sur les soins de santé fait partie d'une vaste organisation, le centre d'échange doit mettre en œuvre des politiques et des procédures qui protègent ses informations électroniques protégées sur la santé de tout accès non autorisé par d'autres filiales de l'organisation. | Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges. | |
164.308(a)(4)(ii)(A) | (A) Isolement des fonctions du centre d'échange d'informations sur les soins de santé (obligatoire). Si un centre d'échange d'informations sur les soins de santé fait partie d'une vaste organisation, le centre d'échange doit mettre en œuvre des politiques et des procédures qui protègent ses informations électroniques protégées sur la santé de tout accès non autorisé par d'autres filiales de l'organisation. | Assurez-vous que les informations d'authentification AWS_ACCESS_KEY_ID et AWS_SECRET_ACCESS_KEY n'existent pas dans les environnements de projet Codebuild. AWS Ne stockez pas ces variables en clair. Le stockage de ces variables en clair entraîne une exposition involontaire des données et un accès non autorisé. | |
164.308(a)(4)(ii)(A) | (A) Isolement des fonctions du centre d'échange d'informations sur les soins de santé (obligatoire). Si un centre d'échange d'informations sur les soins de santé fait partie d'une vaste organisation, le centre d'échange doit mettre en œuvre des politiques et des procédures qui protègent ses informations électroniques protégées sur la santé de tout accès non autorisé par d'autres filiales de l'organisation. | Assurez-vous que l'URL du référentiel source GitHub ou de Bitbucket ne contient pas de jetons d'accès personnels ni d'identifiants de connexion dans les environnements de projet AWS Codebuild. Utilisez OAuth au lieu de jetons d'accès personnels ou d'identifiants de connexion pour autoriser l'accès aux GitHub référentiels Bitbucket. | |
164.308(a)(4)(ii)(A) | (A) Isolement des fonctions du centre d'échange d'informations sur les soins de santé (obligatoire). Si un centre d'échange d'informations sur les soins de santé fait partie d'une vaste organisation, le centre d'échange doit mettre en œuvre des politiques et des procédures qui protègent ses informations électroniques protégées sur la santé de tout accès non autorisé par d'autres filiales de l'organisation. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
164.308(a)(4)(ii)(A) | (A) Isolement des fonctions du centre d'échange d'informations sur les soins de santé (obligatoire). Si un centre d'échange d'informations sur les soins de santé fait partie d'une vaste organisation, le centre d'échange doit mettre en œuvre des politiques et des procédures qui protègent ses informations électroniques protégées sur la santé de tout accès non autorisé par d'autres filiales de l'organisation. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
164.308(a)(4)(ii)(A) | (A) Isolement des fonctions du centre d'échange d'informations sur les soins de santé (obligatoire). Si un centre d'échange d'informations sur les soins de santé fait partie d'une vaste organisation, le centre d'échange doit mettre en œuvre des politiques et des procédures qui protègent ses informations électroniques protégées sur la santé de tout accès non autorisé par d'autres filiales de l'organisation. | Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs. | |
164.308(a)(4)(ii)(A) | (A) Isolement des fonctions du centre d'échange d'informations sur les soins de santé (obligatoire). Si un centre d'échange d'informations sur les soins de santé fait partie d'une vaste organisation, le centre d'échange doit mettre en œuvre des politiques et des procédures qui protègent ses informations électroniques protégées sur la santé de tout accès non autorisé par d'autres filiales de l'organisation. | L'activation de l'accès en lecture seule aux conteneurs Amazon Elastic Container Service (ECS) permet de respecter le principe du moindre privilège. Cette option peut réduire les vecteurs d'attaque, car le système de fichiers de l'instance de conteneur ne peut être modifié que s'il dispose d'autorisations explicites de lecture et d'écriture. | |
164.308(a)(4)(ii)(A) | (A) Isolement des fonctions du centre d'échange d'informations sur les soins de santé (obligatoire). Si un centre d'échange d'informations sur les soins de santé fait partie d'une vaste organisation, le centre d'échange doit mettre en œuvre des politiques et des procédures qui protègent ses informations électroniques protégées sur la santé de tout accès non autorisé par d'autres filiales de l'organisation. | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
164.308(a)(4)(ii)(A) | (A) Isolement des fonctions du centre d'échange d'informations sur les soins de santé (obligatoire). Si un centre d'échange d'informations sur les soins de santé fait partie d'une vaste organisation, le centre d'échange doit mettre en œuvre des politiques et des procédures qui protègent ses informations électroniques protégées sur la santé de tout accès non autorisé par d'autres filiales de l'organisation. | Cette règle vérifie si les listes de contrôle d'accès (ACL) sont utilisées pour contrôler l'accès aux compartiments Amazon S3. Les ACL sont des mécanismes de contrôle d'accès existants pour les compartiments Amazon S3 antérieurs à AWS Identity and Access Management (IAM). Au lieu d'utiliser des listes ACL, il est recommandé d'utiliser des politiques IAM ou des politiques de compartiment S3 pour gérer plus facilement l'accès à vos compartiments S3. | |
164.308(a)(4)(ii)(A) | (A) Isolement des fonctions du centre d'échange d'informations sur les soins de santé (obligatoire). Si un centre d'échange d'informations sur les soins de santé fait partie d'une vaste organisation, le centre d'échange doit mettre en œuvre des politiques et des procédures qui protègent ses informations électroniques protégées sur la santé de tout accès non autorisé par d'autres filiales de l'organisation. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
164.308(a)(4)(ii)(B) | (B) Autorisation d'accès (adressable). Mettez en œuvre des politiques et des procédures pour accorder l'accès aux informations électroniques protégées sur la santé, par exemple, via l'accès à un poste de travail, à une transaction, à un programme, à un processus ou à un autre mécanisme. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
164.308(a)(4)(ii)(B) | (B) Autorisation d'accès (adressable). Mettez en œuvre des politiques et des procédures pour accorder l'accès aux informations électroniques protégées sur la santé, par exemple, via l'accès à un poste de travail, à une transaction, à un programme, à un processus ou à un autre mécanisme. | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
164.308(a)(4)(ii)(B) | (B) Autorisation d'accès (adressable). Mettez en œuvre des politiques et des procédures pour accorder l'accès aux informations électroniques protégées sur la santé, par exemple, via l'accès à un poste de travail, à une transaction, à un programme, à un processus ou à un autre mécanisme. | Les informations d'identification sont auditées pour les appareils, les utilisateurs et les processus autorisés en veillant à ce que les clés d'accès IAM soient alternées conformément à la politique de l'organisation. La modification régulière des clés d'accès est une bonne pratique de sécurité. Cela permet de raccourcir la période pendant laquelle une clé d'accès est active et de réduire l'impact commercial en cas de compromission des clés. Cette règle nécessite une valeur de rotation des clés d'accès (configuration par défaut : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
164.308(a)(4)(ii)(B) | (B) Autorisation d'accès (adressable). Mettez en œuvre des politiques et des procédures pour accorder l'accès aux informations électroniques protégées sur la santé, par exemple, via l'accès à un poste de travail, à une transaction, à un programme, à un processus ou à un autre mécanisme. | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité. | |
164.308(a)(4)(ii)(B) | (B) Autorisation d'accès (adressable). Mettez en œuvre des politiques et des procédures pour accorder l'accès aux informations électroniques protégées sur la santé, par exemple, via l'accès à un poste de travail, à une transaction, à un programme, à un processus ou à un autre mécanisme. | Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation. | |
164.308(a)(4)(ii)(B) | (B) Autorisation d'accès (adressable). Mettez en œuvre des politiques et des procédures pour accorder l'accès aux informations électroniques protégées sur la santé, par exemple, via l'accès à un poste de travail, à une transaction, à un programme, à un processus ou à un autre mécanisme. | AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
164.308(a)(4)(ii)(B) | (B) Autorisation d'accès (adressable). Mettez en œuvre des politiques et des procédures pour accorder l'accès aux informations électroniques protégées sur la santé, par exemple, via l'accès à un poste de travail, à une transaction, à un programme, à un processus ou à un autre mécanisme. | Cette règle garantit que la rotation AWS des secrets de Secrets Manager est activée. La rotation régulière des secrets peut raccourcir la période pendant laquelle un secret est actif et potentiellement réduire l'impact commercial s'il est compromis. | |
164.308(a)(4)(ii)(B) | (B) Autorisation d'accès (adressable). Mettez en œuvre des politiques et des procédures pour accorder l'accès aux informations électroniques protégées sur la santé, par exemple, via l'accès à un poste de travail, à une transaction, à un programme, à un processus ou à un autre mécanisme. | Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal. | |
164.308(a)(4)(ii)(B) | (B) Autorisation d'accès (adressable). Mettez en œuvre des politiques et des procédures pour accorder l'accès aux informations électroniques protégées sur la santé, par exemple, via l'accès à un poste de travail, à une transaction, à un programme, à un processus ou à un autre mécanisme. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation | |
164.308(a)(4)(ii)(B) | (B) Autorisation d'accès (adressable). Mettez en œuvre des politiques et des procédures pour accorder l'accès aux informations électroniques protégées sur la santé, par exemple, via l'accès à un poste de travail, à une transaction, à un programme, à un processus ou à un autre mécanisme. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation. | |
164.308(a)(4)(ii)(B) | (B) Autorisation d'accès (adressable). Mettez en œuvre des politiques et des procédures pour accorder l'accès aux informations électroniques protégées sur la santé, par exemple, via l'accès à un poste de travail, à une transaction, à un programme, à un processus ou à un autre mécanisme. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
164.308(a)(4)(ii)(B) | (B) Autorisation d'accès (adressable). Mettez en œuvre des politiques et des procédures pour accorder l'accès aux informations électroniques protégées sur la santé, par exemple, via l'accès à un poste de travail, à une transaction, à un programme, à un processus ou à un autre mécanisme. | Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs. | |
164.308(a)(4)(ii)(B) | (B) Autorisation d'accès (adressable). Mettez en œuvre des politiques et des procédures pour accorder l'accès aux informations électroniques protégées sur la santé, par exemple, via l'accès à un poste de travail, à une transaction, à un programme, à un processus ou à un autre mécanisme. | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
164.308(a)(4)(ii)(B) | (B) Autorisation d'accès (adressable). Mettez en œuvre des politiques et des procédures pour accorder l'accès aux informations électroniques protégées sur la santé, par exemple, via l'accès à un poste de travail, à une transaction, à un programme, à un processus ou à un autre mécanisme. | Les profils d'instance EC2 transmettent un rôle IAM à une instance EC2. L'association d'un profil d'instance à vos instances peut faciliter la gestion du moindre privilège et des autorisations. | |
164.308(a)(4)(ii)(B) | (B) Autorisation d'accès (adressable). Mettez en œuvre des politiques et des procédures pour accorder l'accès aux informations électroniques protégées sur la santé, par exemple, via l'accès à un poste de travail, à une transaction, à un programme, à un processus ou à un autre mécanisme. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
164.308(a)(4)(ii)(B) | (B) Autorisation d'accès (adressable). Mettez en œuvre des politiques et des procédures pour accorder l'accès aux informations électroniques protégées sur la santé, par exemple, via l'accès à un poste de travail, à une transaction, à un programme, à un processus ou à un autre mécanisme. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
164.308(a)(4)(ii)(B) | (B) Autorisation d'accès (adressable). Mettez en œuvre des politiques et des procédures pour accorder l'accès aux informations électroniques protégées sur la santé, par exemple, via l'accès à un poste de travail, à une transaction, à un programme, à un processus ou à un autre mécanisme. | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
164.308(a)(4)(ii)(B) | (B) Autorisation d'accès (adressable). Mettez en œuvre des politiques et des procédures pour accorder l'accès aux informations électroniques protégées sur la santé, par exemple, via l'accès à un poste de travail, à une transaction, à un programme, à un processus ou à un autre mécanisme. | L'activation de l'accès en lecture seule aux conteneurs Amazon Elastic Container Service (ECS) permet de respecter le principe du moindre privilège. Cette option peut réduire les vecteurs d'attaque, car le système de fichiers de l'instance de conteneur ne peut être modifié que s'il dispose d'autorisations explicites de lecture et d'écriture. | |
164.308(a)(4)(ii)(B) | (B) Autorisation d'accès (adressable). Mettez en œuvre des politiques et des procédures pour accorder l'accès aux informations électroniques protégées sur la santé, par exemple, via l'accès à un poste de travail, à une transaction, à un programme, à un processus ou à un autre mécanisme. | Cette règle vérifie si les listes de contrôle d'accès (ACL) sont utilisées pour contrôler l'accès aux compartiments Amazon S3. Les ACL sont des mécanismes de contrôle d'accès existants pour les compartiments Amazon S3 antérieurs à AWS Identity and Access Management (IAM). Au lieu d'utiliser des listes ACL, il est recommandé d'utiliser des politiques IAM ou des politiques de compartiment S3 pour gérer plus facilement l'accès à vos compartiments S3. | |
164.308(a)(4)(ii)(C) | (C) Création et modification de l'accès (adressable). Mettez en œuvre des politiques et des procédures qui, en se basant sur les politiques d'autorisation d'accès de l'entité, établissent, documentent, examinent et modifient le droit d'accès d'un utilisateur à un poste de travail, à une transaction, à un programme ou à un processus. | Assurez-vous que la méthode Service des métadonnées d'instance Version 2 (IMDSv2) est activée pour protéger l'accès aux métadonnées d'instance Amazon Elastic Compute Cloud (Amazon EC2) et leur contrôle. La méthode IMDSv2 utilise des contrôles basés sur la session. Avec IMDSv2, des contrôles peuvent être mis en œuvre pour limiter les modifications apportées aux métadonnées des instances. | |
164.308(a)(4)(ii)(C) | (C) Création et modification de l'accès (adressable). Mettez en œuvre des politiques et des procédures qui, en se basant sur les politiques d'autorisation d'accès de l'entité, établissent, documentent, examinent et modifient le droit d'accès d'un utilisateur à un poste de travail, à une transaction, à un programme ou à un processus. | Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal. | |
164.308(a)(4)(ii)(C) | (C) Création et modification de l'accès (adressable). Mettez en œuvre des politiques et des procédures qui, en se basant sur les politiques d'autorisation d'accès de l'entité, établissent, documentent, examinent et modifient le droit d'accès d'un utilisateur à un poste de travail, à une transaction, à un programme ou à un processus. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation | |
164.308(a)(4)(ii)(C) | (C) Création et modification de l'accès (adressable). Mettez en œuvre des politiques et des procédures qui, en se basant sur les politiques d'autorisation d'accès de l'entité, établissent, documentent, examinent et modifient le droit d'accès d'un utilisateur à un poste de travail, à une transaction, à un programme ou à un processus. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation. | |
164.308(a)(4)(ii)(C) | (C) Création et modification de l'accès (adressable). Mettez en œuvre des politiques et des procédures qui, en se basant sur les politiques d'autorisation d'accès de l'entité, établissent, documentent, examinent et modifient le droit d'accès d'un utilisateur à un poste de travail, à une transaction, à un programme ou à un processus. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
164.308(a)(4)(ii)(C) | (C) Création et modification de l'accès (adressable). Mettez en œuvre des politiques et des procédures qui, en se basant sur les politiques d'autorisation d'accès de l'entité, établissent, documentent, examinent et modifient le droit d'accès d'un utilisateur à un poste de travail, à une transaction, à un programme ou à un processus. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
164.308(a)(4)(ii)(C) | (C) Création et modification de l'accès (adressable). Mettez en œuvre des politiques et des procédures qui, en se basant sur les politiques d'autorisation d'accès de l'entité, établissent, documentent, examinent et modifient le droit d'accès d'un utilisateur à un poste de travail, à une transaction, à un programme ou à un processus. | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité. | |
164.308(a)(4)(ii)(C) | (C) Création et modification de l'accès (adressable). Mettez en œuvre des politiques et des procédures qui, en se basant sur les politiques d'autorisation d'accès de l'entité, établissent, documentent, examinent et modifient le droit d'accès d'un utilisateur à un poste de travail, à une transaction, à un programme ou à un processus. | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
164.308(a)(4)(ii)(C) | (C) Création et modification de l'accès (adressable). Mettez en œuvre des politiques et des procédures qui, en se basant sur les politiques d'autorisation d'accès de l'entité, établissent, documentent, examinent et modifient le droit d'accès d'un utilisateur à un poste de travail, à une transaction, à un programme ou à un processus. | AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
164.308(a)(4)(ii)(C) | (C) Création et modification de l'accès (adressable). Mettez en œuvre des politiques et des procédures qui, en se basant sur les politiques d'autorisation d'accès de l'entité, établissent, documentent, examinent et modifient le droit d'accès d'un utilisateur à un poste de travail, à une transaction, à un programme ou à un processus. | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
164.308(a)(4)(ii)(C) | (C) Création et modification de l'accès (adressable). Mettez en œuvre des politiques et des procédures qui, en se basant sur les politiques d'autorisation d'accès de l'entité, établissent, documentent, examinent et modifient le droit d'accès d'un utilisateur à un poste de travail, à une transaction, à un programme ou à un processus. | Les profils d'instance EC2 transmettent un rôle IAM à une instance EC2. L'association d'un profil d'instance à vos instances peut faciliter la gestion du moindre privilège et des autorisations. | |
164.308(a)(4)(ii)(C) | (C) Création et modification de l'accès (adressable). Mettez en œuvre des politiques et des procédures qui, en se basant sur les politiques d'autorisation d'accès de l'entité, établissent, documentent, examinent et modifient le droit d'accès d'un utilisateur à un poste de travail, à une transaction, à un programme ou à un processus. | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
164.308(a)(4)(ii)(C) | (C) Création et modification de l'accès (adressable). Mettez en œuvre des politiques et des procédures qui, en se basant sur les politiques d'autorisation d'accès de l'entité, établissent, documentent, examinent et modifient le droit d'accès d'un utilisateur à un poste de travail, à une transaction, à un programme ou à un processus. | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
164.308(a)(4)(ii)(C) | (C) Création et modification de l'accès (adressable). Mettez en œuvre des politiques et des procédures qui, en se basant sur les politiques d'autorisation d'accès de l'entité, établissent, documentent, examinent et modifient le droit d'accès d'un utilisateur à un poste de travail, à une transaction, à un programme ou à un processus. | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
164.308(a)(4)(ii)(C) | (C) Création et modification de l'accès (adressable). Mettez en œuvre des politiques et des procédures qui, en se basant sur les politiques d'autorisation d'accès de l'entité, établissent, documentent, examinent et modifient le droit d'accès d'un utilisateur à un poste de travail, à une transaction, à un programme ou à un processus. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
164.308(a)(4)(ii)(C) | (C) Création et modification de l'accès (adressable). Mettez en œuvre des politiques et des procédures qui, en se basant sur les politiques d'autorisation d'accès de l'entité, établissent, documentent, examinent et modifient le droit d'accès d'un utilisateur à un poste de travail, à une transaction, à un programme ou à un processus. | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
164.308(a)(4)(ii)(C) | (C) Création et modification de l'accès (adressable). Mettez en œuvre des politiques et des procédures qui, en se basant sur les politiques d'autorisation d'accès de l'entité, établissent, documentent, examinent et modifient le droit d'accès d'un utilisateur à un poste de travail, à une transaction, à un programme ou à un processus. | Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès. | |
164.308(a)(4)(ii)(C) | (C) Création et modification de l'accès (adressable). Mettez en œuvre des politiques et des procédures qui, en se basant sur les politiques d'autorisation d'accès de l'entité, établissent, documentent, examinent et modifient le droit d'accès d'un utilisateur à un poste de travail, à une transaction, à un programme ou à un processus. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les passerelles Internet ne sont connectées qu'à Amazon Virtual Private Cloud (Amazon VPC) autorisé. Les passerelles Internet permettent un accès bidirectionnel à Internet depuis et vers le réseau Amazon VPC, ce qui peut potentiellement entraîner un accès non autorisé aux ressources Amazon VPC. | |
164.308(a)(4)(ii)(C) | (C) Création et modification de l'accès (adressable). Mettez en œuvre des politiques et des procédures qui, en se basant sur les politiques d'autorisation d'accès de l'entité, établissent, documentent, examinent et modifient le droit d'accès d'un utilisateur à un poste de travail, à une transaction, à un programme ou à un processus. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
164.308(a)(4)(ii)(C) | (C) Création et modification de l'accès (adressable). Mettez en œuvre des politiques et des procédures qui, en se basant sur les politiques d'autorisation d'accès de l'entité, établissent, documentent, examinent et modifient le droit d'accès d'un utilisateur à un poste de travail, à une transaction, à un programme ou à un processus. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
164.308(a)(4)(ii)(C) | (C) Création et modification de l'accès (adressable). Mettez en œuvre des politiques et des procédures qui, en se basant sur les politiques d'autorisation d'accès de l'entité, établissent, documentent, examinent et modifient le droit d'accès d'un utilisateur à un poste de travail, à une transaction, à un programme ou à un processus. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
164.308(a)(4)(ii)(C) | (C) Création et modification de l'accès (adressable). Mettez en œuvre des politiques et des procédures qui, en se basant sur les politiques d'autorisation d'accès de l'entité, établissent, documentent, examinent et modifient le droit d'accès d'un utilisateur à un poste de travail, à une transaction, à un programme ou à un processus. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
164.308(a)(4)(ii)(C) | (C) Création et modification de l'accès (adressable). Mettez en œuvre des politiques et des procédures qui, en se basant sur les politiques d'autorisation d'accès de l'entité, établissent, documentent, examinent et modifient le droit d'accès d'un utilisateur à un poste de travail, à une transaction, à un programme ou à un processus. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
164.308(a)(4)(ii)(C) | (C) Création et modification de l'accès (adressable). Mettez en œuvre des politiques et des procédures qui, en se basant sur les politiques d'autorisation d'accès de l'entité, établissent, documentent, examinent et modifient le droit d'accès d'un utilisateur à un poste de travail, à une transaction, à un programme ou à un processus. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
164.308(a)(4)(ii)(C) | (C) Création et modification de l'accès (adressable). Mettez en œuvre des politiques et des procédures qui, en se basant sur les politiques d'autorisation d'accès de l'entité, établissent, documentent, examinent et modifient le droit d'accès d'un utilisateur à un poste de travail, à une transaction, à un programme ou à un processus. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
164.308(a)(4)(ii)(C) | (C) Création et modification de l'accès (adressable). Mettez en œuvre des politiques et des procédures qui, en se basant sur les politiques d'autorisation d'accès de l'entité, établissent, documentent, examinent et modifient le droit d'accès d'un utilisateur à un poste de travail, à une transaction, à un programme ou à un processus. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
164.308(a)(4)(ii)(C) | (C) Création et modification de l'accès (adressable). Mettez en œuvre des politiques et des procédures qui, en se basant sur les politiques d'autorisation d'accès de l'entité, établissent, documentent, examinent et modifient le droit d'accès d'un utilisateur à un poste de travail, à une transaction, à un programme ou à un processus. | Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale. | |
164.308(a)(4)(ii)(C) | (C) Création et modification de l'accès (adressable). Mettez en œuvre des politiques et des procédures qui, en se basant sur les politiques d'autorisation d'accès de l'entité, établissent, documentent, examinent et modifient le droit d'accès d'un utilisateur à un poste de travail, à une transaction, à un programme ou à un processus. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
164.308(a)(4)(ii)(C) | (C) Création et modification de l'accès (adressable). Mettez en œuvre des politiques et des procédures qui, en se basant sur les politiques d'autorisation d'accès de l'entité, établissent, documentent, examinent et modifient le droit d'accès d'un utilisateur à un poste de travail, à une transaction, à un programme ou à un processus. | Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges. | |
164.308(a)(4)(ii)(C) | (C) Création et modification de l'accès (adressable). Mettez en œuvre des politiques et des procédures qui, en se basant sur les politiques d'autorisation d'accès de l'entité, établissent, documentent, examinent et modifient le droit d'accès d'un utilisateur à un poste de travail, à une transaction, à un programme ou à un processus. | Assurez-vous que les informations d'authentification AWS_ACCESS_KEY_ID et AWS_SECRET_ACCESS_KEY n'existent pas dans les environnements de projet Codebuild. AWS Ne stockez pas ces variables en clair. Le stockage de ces variables en clair entraîne une exposition involontaire des données et un accès non autorisé. | |
164.308(a)(4)(ii)(C) | (C) Création et modification de l'accès (adressable). Mettez en œuvre des politiques et des procédures qui, en se basant sur les politiques d'autorisation d'accès de l'entité, établissent, documentent, examinent et modifient le droit d'accès d'un utilisateur à un poste de travail, à une transaction, à un programme ou à un processus. | Assurez-vous que l'URL du référentiel source GitHub ou de Bitbucket ne contient pas de jetons d'accès personnels ni d'identifiants de connexion dans les environnements de projet AWS Codebuild. Utilisez OAuth au lieu de jetons d'accès personnels ou d'identifiants de connexion pour autoriser l'accès aux GitHub référentiels Bitbucket. | |
164.308(a)(4)(ii)(C) | (C) Création et modification de l'accès (adressable). Mettez en œuvre des politiques et des procédures qui, en se basant sur les politiques d'autorisation d'accès de l'entité, établissent, documentent, examinent et modifient le droit d'accès d'un utilisateur à un poste de travail, à une transaction, à un programme ou à un processus. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
164.308(a)(4)(ii)(C) | (C) Création et modification de l'accès (adressable). Mettez en œuvre des politiques et des procédures qui, en se basant sur les politiques d'autorisation d'accès de l'entité, établissent, documentent, examinent et modifient le droit d'accès d'un utilisateur à un poste de travail, à une transaction, à un programme ou à un processus. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
164.308(a)(4)(ii)(C) | (C) Création et modification de l'accès (adressable). Mettez en œuvre des politiques et des procédures qui, en se basant sur les politiques d'autorisation d'accès de l'entité, établissent, documentent, examinent et modifient le droit d'accès d'un utilisateur à un poste de travail, à une transaction, à un programme ou à un processus. | Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs. | |
164.308(a)(4)(ii)(C) | (C) Création et modification de l'accès (adressable). Mettez en œuvre des politiques et des procédures qui, en se basant sur les politiques d'autorisation d'accès de l'entité, établissent, documentent, examinent et modifient le droit d'accès d'un utilisateur à un poste de travail, à une transaction, à un programme ou à un processus. | L'activation de l'accès en lecture seule aux conteneurs Amazon Elastic Container Service (ECS) permet de respecter le principe du moindre privilège. Cette option peut réduire les vecteurs d'attaque, car le système de fichiers de l'instance de conteneur ne peut être modifié que s'il dispose d'autorisations explicites de lecture et d'écriture. | |
164.308(a)(4)(ii)(C) | (C) Création et modification de l'accès (adressable). Mettez en œuvre des politiques et des procédures qui, en se basant sur les politiques d'autorisation d'accès de l'entité, établissent, documentent, examinent et modifient le droit d'accès d'un utilisateur à un poste de travail, à une transaction, à un programme ou à un processus. | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
164.308(a)(4)(ii)(C) | (C) Création et modification de l'accès (adressable). Mettez en œuvre des politiques et des procédures qui, en se basant sur les politiques d'autorisation d'accès de l'entité, établissent, documentent, examinent et modifient le droit d'accès d'un utilisateur à un poste de travail, à une transaction, à un programme ou à un processus. | Cette règle vérifie si les listes de contrôle d'accès (ACL) sont utilisées pour contrôler l'accès aux compartiments Amazon S3. Les ACL sont des mécanismes de contrôle d'accès existants pour les compartiments Amazon S3 antérieurs à AWS Identity and Access Management (IAM). Au lieu d'utiliser des listes ACL, il est recommandé d'utiliser des politiques IAM ou des politiques de compartiment S3 pour gérer plus facilement l'accès à vos compartiments S3. | |
164.308(a)(4)(ii)(C) | (C) Création et modification de l'accès (adressable). Mettez en œuvre des politiques et des procédures qui, en se basant sur les politiques d'autorisation d'accès de l'entité, établissent, documentent, examinent et modifient le droit d'accès d'un utilisateur à un poste de travail, à une transaction, à un programme ou à un processus. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
164.308(a)(5)(ii)(A) | (A) Rappels de sécurité (adressables). Mises à jour de sécurité régulières | Activez cette règle pour faciliter l'identification et la documentation des vulnérabilités d'Amazon Elastic Compute Cloud (Amazon EC2). La règle vérifie si les correctifs d'instance Amazon EC2 sont conformes dans AWS Systems Manager conformément aux politiques et procédures de votre entreprise. | |
164.308(a)(5)(ii)(A) | (A) Rappels de sécurité (adressables). Mises à jour de sécurité régulières | L'activation des mises à jour de plateforme gérées pour un environnement Amazon Elastic Beanstalk garantit l'installation des derniers correctifs, mises à jour et fonctionnalités de la plateforme disponibles pour l'environnement. La sécurisation des systèmes passe par la mise à jour de l'installation des correctifs. | |
164.308(a)(5)(ii)(A) | (A) Rappels de sécurité (adressables). Mises à jour de sécurité régulières | Cette règle garantit que les clusters Amazon Redshift disposent des paramètres préférés de votre organisation. Plus précisément, qu'ils disposent de fenêtres de maintenance préférées et de périodes de conservation des instantanés automatisées pour la base de données. Cette règle vous oblige à définir le allowVersionUpgrade. Par défaut, la valeur est true. Il vous permet également de définir éventuellement le preferredMaintenanceWindow (la valeur par défaut est samedi : 16h00 - samedi : 16h30) et la automatedSnapshotRetention période (la valeur par défaut est 1). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
164.308(a)(5)(ii)(A) | (A) Rappels de sécurité (adressables). Mises à jour de sécurité régulières | Activez les mises à niveau automatiques des versions mineures sur vos instances Amazon Relational Database Service (RDS) pour vous assurer que les dernières mises à jour mineures du système de gestion de base de données relationnelle (RDBMS) sont installées, lesquelles peuvent inclure des correctifs de sécurité et des correctifs de bogues. | |
164.308(a)(5)(ii)(B) | (B) Protection contre les logiciels malveillants (adressable). Procédures de protection, de détection et de signalement des logiciels malveillants. | Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement. | |
164.308(a)(5)(ii)(B) | (B) Protection contre les logiciels malveillants (adressable). Procédures de protection, de détection et de signalement des logiciels malveillants. | Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des niveaux de référence pour les niveaux de correctifs du système d'exploitation, les installations de logiciels, les configurations d'applications et d'autres informations relatives à votre environnement. | |
164.308(a)(5)(ii)(B) | (B) Protection contre les logiciels malveillants (adressable). Procédures de protection, de détection et de signalement des logiciels malveillants. | Activez cette règle pour faciliter l'identification et la documentation des vulnérabilités d'Amazon Elastic Compute Cloud (Amazon EC2). La règle vérifie si les correctifs d'instance Amazon EC2 sont conformes dans AWS Systems Manager conformément aux politiques et procédures de votre entreprise. | |
164.308(a)(5)(ii)(C) | (C) Surveillance des connexions (adressable). Procédures de surveillance des tentatives de connexion et de signalement des anomalies. | Amazon GuardDuty peut aider à surveiller et à détecter les événements de cybersécurité potentiels en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
164.308(a)(5)(ii)(C) | (C) Surveillance des connexions (adressable). Procédures de surveillance des tentatives de connexion et de signalement des anomalies. | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
164.308(a)(5)(ii)(C) | (C) Surveillance des connexions (adressable). Procédures de surveillance des tentatives de connexion et de signalement des anomalies. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
164.308(a)(5)(ii)(D) | (D) Gestion des mots de passe (adressable). Procédures de création, de modification et de sauvegarde des mots de passe. | Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation. | |
164.308(a)(6)(i) | (6)(i) Norme : procédures relatives aux incidents de sécurité. Mettez en œuvre des politiques et des procédures pour résoudre les incidents de sécurité. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
164.308(a)(6)(ii) | (ii) Spécification de l'implémentation : réponse et rapport (obligatoires). Identifiez et résolvez les incidents de sécurité présumés ou avérés ; atténuez, dans la mesure du possible, les répercussions négatives des incidents de sécurité avérés sur l'entité couverte ; et documentez les incidents de sécurité et leurs conséquences. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
164.308(a)(7)(i) | (7)(i) Norme : plan d'urgence. Établissez (et mettez en œuvre si besoin) des politiques et des procédures pour répondre à une situation d'urgence ou tout autre événement (par exemple, un incendie, un acte de vandalisme, une défaillance du système ou une catastrophe naturelle) qui endommagerait les systèmes contenant des informations électroniques protégées sur la santé. | Amazon DynamoDB Auto Scaling AWS utilise le service Application Auto Scaling pour ajuster la capacité de débit allouée afin de répondre automatiquement aux modèles de trafic réels. Cela permet à une table ou à un index secondaire global d'augmenter sa capacité de lecture/d'écriture approvisionnée afin de gérer les hausses soudaines de trafic sans limitation. | |
164.308(a)(7)(i) | (7)(i) Norme : plan d'urgence. Établissez (et mettez en œuvre si besoin) des politiques et des procédures pour répondre à une situation d'urgence ou tout autre événement (par exemple, un incendie, un acte de vandalisme, une défaillance du système ou une catastrophe naturelle) qui endommagerait les systèmes contenant des informations électroniques protégées sur la santé. | Activez l'équilibrage de charge entre zones pour vos équilibreurs de charge Elastic Load Balancing (ELB) afin de maintenir une capacité et une disponibilité adéquates. L'équilibrage de charge entre zones réduit la nécessité de maintenir un nombre équivalent d'instances dans chaque zone de disponibilité activée. Cela améliore également la capacité de votre application à gérer la perte d'une ou de plusieurs instances. | |
164.308(a)(7)(i) | (7)(i) Norme : plan d'urgence. Établissez (et mettez en œuvre si besoin) des politiques et des procédures pour répondre à une situation d'urgence ou tout autre événement (par exemple, un incendie, un acte de vandalisme, une défaillance du système ou une catastrophe naturelle) qui endommagerait les systèmes contenant des informations électroniques protégées sur la santé. | Cette règle garantit que la protection contre la suppression est activée pour Elastic Load Balancing. Utilisez cette fonctionnalité pour empêcher la suppression accidentelle ou malveillante de votre équilibreur de charge, ce qui pourrait entraîner une perte de disponibilité pour vos applications. | |
164.308(a)(7)(i) | (7)(i) Norme : plan d'urgence. Établissez (et mettez en œuvre si besoin) des politiques et des procédures pour répondre à une situation d'urgence ou tout autre événement (par exemple, un incendie, un acte de vandalisme, une défaillance du système ou une catastrophe naturelle) qui endommagerait les systèmes contenant des informations électroniques protégées sur la santé. | Assurez-vous que la protection contre la suppression est activée sur les instances Amazon Relational Database Service (Amazon RDS). Utilisez la protection contre la suppression pour empêcher la suppression accidentelle ou malveillante des instances Amazon RDS, ce qui pourrait entraîner une perte de disponibilité pour vos applications. | |
164.308(a)(7)(i) | (7)(i) Norme : plan d'urgence. Établissez (et mettez en œuvre si besoin) des politiques et des procédures pour répondre à une situation d'urgence ou tout autre événement (par exemple, un incendie, un acte de vandalisme, une défaillance du système ou une catastrophe naturelle) qui endommagerait les systèmes contenant des informations électroniques protégées sur la santé. | La prise en charge multi-AZ dans Amazon Relational Database Service (Amazon RDS) offre une disponibilité et une durabilité améliorées pour les instances de base de données. Lorsque vous mettez en service une instance de base de données multi-AZ, Amazon RDS crée automatiquement une instance de base de données principale et réplique de manière synchrone les données vers une instance de secours dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé. | |
164.308(a)(7)(i) | (7)(i) Norme : plan d'urgence. Établissez (et mettez en œuvre si besoin) des politiques et des procédures pour répondre à une situation d'urgence ou tout autre événement (par exemple, un incendie, un acte de vandalisme, une défaillance du système ou une catastrophe naturelle) qui endommagerait les systèmes contenant des informations électroniques protégées sur la santé. | Des tunnels Site-to-Site VPN redondants peuvent être mis en œuvre pour répondre aux exigences de résilience. Deux tunnels sont utilisés pour garantir la connectivité au cas où l'une des connexions Site-to-Site VPN deviendrait indisponible. Pour bénéficier d'une protection contre la perte de connectivité en cas d'indisponibilité de votre passerelle client, vous pouvez configurer une seconde connexion Site-to-Site VPN vers votre réseau Amazon Virtual Private Cloud (Amazon VPC) et votre passerelle privée virtuelle en ajoutant une seconde passerelle client. | |
164.308(a)(7)(i) | (7)(i) Norme : plan d'urgence. Établissez (et mettez en œuvre si besoin) des politiques et des procédures pour répondre à une situation d'urgence ou tout autre événement (par exemple, un incendie, un acte de vandalisme, une défaillance du système ou une catastrophe naturelle) qui endommagerait les systèmes contenant des informations électroniques protégées sur la santé. | La fonctionnalité de sauvegarde d'Amazon RDS crée des sauvegardes de vos bases de données et de vos journaux de transactions. Amazon RDS crée automatiquement un instantané du volume de stockage de votre instance de base de données, en sauvegardant l'intégralité de cette dernière. Le système vous permet de définir des périodes de conservation spécifiques pour répondre à vos exigences de résilience. | |
164.308(a)(7)(i) | (7)(i) Norme : plan d'urgence. Établissez (et mettez en œuvre si besoin) des politiques et des procédures pour répondre à une situation d'urgence ou tout autre événement (par exemple, un incendie, un acte de vandalisme, une défaillance du système ou une catastrophe naturelle) qui endommagerait les systèmes contenant des informations électroniques protégées sur la santé. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos tables Amazon DynamoDB font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
164.308(a)(7)(i) | (7)(i) Norme : plan d'urgence. Établissez (et mettez en œuvre si besoin) des politiques et des procédures pour répondre à une situation d'urgence ou tout autre événement (par exemple, un incendie, un acte de vandalisme, une défaillance du système ou une catastrophe naturelle) qui endommagerait les systèmes contenant des informations électroniques protégées sur la santé. | Activez cette règle pour vérifier que les informations ont été sauvegardées. Il gère également les sauvegardes en s'assurant que la point-in-time restauration est activée dans Amazon DynamoDB. La récupération permet de maintenir des sauvegardes continues de votre table pour les 35 derniers jours. | |
164.308(a)(7)(i) | (7)(i) Norme : plan d'urgence. Établissez (et mettez en œuvre si besoin) des politiques et des procédures pour répondre à une situation d'urgence ou tout autre événement (par exemple, un incendie, un acte de vandalisme, une défaillance du système ou une catastrophe naturelle) qui endommagerait les systèmes contenant des informations électroniques protégées sur la santé. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos volumes Amazon Elastic Block Store (Amazon EBS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
164.308(a)(7)(i) | (7)(i) Norme : plan d'urgence. Établissez (et mettez en œuvre si besoin) des politiques et des procédures pour répondre à une situation d'urgence ou tout autre événement (par exemple, un incendie, un acte de vandalisme, une défaillance du système ou une catastrophe naturelle) qui endommagerait les systèmes contenant des informations électroniques protégées sur la santé. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon Elastic File System (Amazon EFS) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
164.308(a)(7)(i) | (7)(i) Norme : plan d'urgence. Établissez (et mettez en œuvre si besoin) des politiques et des procédures pour répondre à une situation d'urgence ou tout autre événement (par exemple, un incendie, un acte de vandalisme, une défaillance du système ou une catastrophe naturelle) qui endommagerait les systèmes contenant des informations électroniques protégées sur la santé. | Lorsque les sauvegardes automatiques sont activées, Amazon ElastiCache crée une sauvegarde du cluster quotidiennement. La sauvegarde peut être conservée pendant un nombre de jours défini par votre organisation. Les sauvegardes automatiques peuvent constituer une protection contre la perte de données. En cas de défaillance, vous pouvez créer un nouveau cluster, ce qui restaurera vos données à partir de la sauvegarde la plus récente. | |
164.308(a)(7)(i) | (7)(i) Norme : plan d'urgence. Établissez (et mettez en œuvre si besoin) des politiques et des procédures pour répondre à une situation d'urgence ou tout autre événement (par exemple, un incendie, un acte de vandalisme, une défaillance du système ou une catastrophe naturelle) qui endommagerait les systèmes contenant des informations électroniques protégées sur la santé. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos instances Amazon Relational Database Service (Amazon RDS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
164.308(a)(7)(i) | (7)(i) Norme : plan d'urgence. Établissez (et mettez en œuvre si besoin) des politiques et des procédures pour répondre à une situation d'urgence ou tout autre événement (par exemple, un incendie, un acte de vandalisme, une défaillance du système ou une catastrophe naturelle) qui endommagerait les systèmes contenant des informations électroniques protégées sur la santé. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos clusters Amazon Redshift disposent d'instantanés automatisés. Lorsque les instantanés automatiques sont activés pour un cluster, Redshift prend régulièrement des instantanés de ce cluster. Par défaut, Redshift prend un instantané toutes les huit heures ou tous les 5 Go pour chaque nœud de modification des données, ou selon la première éventualité. | |
164.308(a)(7)(i) | (7)(i) Norme : plan d'urgence. Établissez (et mettez en œuvre si besoin) des politiques et des procédures pour répondre à une situation d'urgence ou tout autre événement (par exemple, un incendie, un acte de vandalisme, une défaillance du système ou une catastrophe naturelle) qui endommagerait les systèmes contenant des informations électroniques protégées sur la santé. | La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données. | |
164.308(a)(7)(i) | (7)(i) Norme : plan d'urgence. Établissez (et mettez en œuvre si besoin) des politiques et des procédures pour répondre à une situation d'urgence ou tout autre événement (par exemple, un incendie, un acte de vandalisme, une défaillance du système ou une catastrophe naturelle) qui endommagerait les systèmes contenant des informations électroniques protégées sur la santé. | La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative. | |
164.308(a)(7)(i) | (7)(i) Norme : plan d'urgence. Établissez (et mettez en œuvre si besoin) des politiques et des procédures pour répondre à une situation d'urgence ou tout autre événement (par exemple, un incendie, un acte de vandalisme, une défaillance du système ou une catastrophe naturelle) qui endommagerait les systèmes contenant des informations électroniques protégées sur la santé. | Assurez-vous que les politiques de cycle de vie d'Amazon S3 sont configurées pour vous aider à définir les actions qu'Amazon S3 doit effectuer au cours de la durée de vie d'un objet (par exemple, transférer les objets vers une autre classe de stockage, les archiver ou les supprimer au bout d'une certaine période). | |
164.308(a)(7)(ii)(A) | (A) Plan de sauvegarde des données (obligatoire). Établissez et mettez en œuvre des procédures permettant de créer et conserver des copies exactes des informations électroniques protégées sur la santé qui pourront être récupérées. | La fonctionnalité de sauvegarde d'Amazon RDS crée des sauvegardes de vos bases de données et de vos journaux de transactions. Amazon RDS crée automatiquement un instantané du volume de stockage de votre instance de base de données, en sauvegardant l'intégralité de cette dernière. Le système vous permet de définir des périodes de conservation spécifiques pour répondre à vos exigences de résilience. | |
164.308(a)(7)(ii)(A) | (A) Plan de sauvegarde des données (obligatoire). Établissez et mettez en œuvre des procédures permettant de créer et conserver des copies exactes des informations électroniques protégées sur la santé qui pourront être récupérées. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos tables Amazon DynamoDB font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
164.308(a)(7)(ii)(A) | (A) Plan de sauvegarde des données (obligatoire). Établissez et mettez en œuvre des procédures permettant de créer et conserver des copies exactes des informations électroniques protégées sur la santé qui pourront être récupérées. | Activez cette règle pour vérifier que les informations ont été sauvegardées. Il gère également les sauvegardes en s'assurant que la point-in-time restauration est activée dans Amazon DynamoDB. La récupération permet de maintenir des sauvegardes continues de votre table pour les 35 derniers jours. | |
164.308(a)(7)(ii)(A) | (A) Plan de sauvegarde des données (obligatoire). Établissez et mettez en œuvre des procédures permettant de créer et conserver des copies exactes des informations électroniques protégées sur la santé qui pourront être récupérées. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos volumes Amazon Elastic Block Store (Amazon EBS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
164.308(a)(7)(ii)(A) | (A) Plan de sauvegarde des données (obligatoire). Établissez et mettez en œuvre des procédures permettant de créer et conserver des copies exactes des informations électroniques protégées sur la santé qui pourront être récupérées. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon Elastic File System (Amazon EFS) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
164.308(a)(7)(ii)(A) | (A) Plan de sauvegarde des données (obligatoire). Établissez et mettez en œuvre des procédures permettant de créer et conserver des copies exactes des informations électroniques protégées sur la santé qui pourront être récupérées. | Lorsque les sauvegardes automatiques sont activées, Amazon ElastiCache crée une sauvegarde du cluster quotidiennement. La sauvegarde peut être conservée pendant un nombre de jours défini par votre organisation. Les sauvegardes automatiques peuvent constituer une protection contre la perte de données. En cas de défaillance, vous pouvez créer un nouveau cluster, ce qui restaurera vos données à partir de la sauvegarde la plus récente. | |
164.308(a)(7)(ii)(A) | (A) Plan de sauvegarde des données (obligatoire). Établissez et mettez en œuvre des procédures permettant de créer et conserver des copies exactes des informations électroniques protégées sur la santé qui pourront être récupérées. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos instances Amazon Relational Database Service (Amazon RDS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
164.308(a)(7)(ii)(A) | (A) Plan de sauvegarde des données (obligatoire). Établissez et mettez en œuvre des procédures permettant de créer et conserver des copies exactes des informations électroniques protégées sur la santé qui pourront être récupérées. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos clusters Amazon Redshift disposent d'instantanés automatisés. Lorsque les instantanés automatiques sont activés pour un cluster, Redshift prend régulièrement des instantanés de ce cluster. Par défaut, Redshift prend un instantané toutes les huit heures ou tous les 5 Go pour chaque nœud de modification des données, ou selon la première éventualité. | |
164.308(a)(7)(ii)(A) | (A) Plan de sauvegarde des données (obligatoire). Établissez et mettez en œuvre des procédures permettant de créer et conserver des copies exactes des informations électroniques protégées sur la santé qui pourront être récupérées. | La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données. | |
164.308(a)(7)(ii)(A) | (A) Plan de sauvegarde des données (obligatoire). Établissez et mettez en œuvre des procédures permettant de créer et conserver des copies exactes des informations électroniques protégées sur la santé qui pourront être récupérées. | La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative. | |
164.308(a)(7)(ii)(A) | (A) Plan de sauvegarde des données (obligatoire). Établissez et mettez en œuvre des procédures permettant de créer et conserver des copies exactes des informations électroniques protégées sur la santé qui pourront être récupérées. | Assurez-vous que les politiques de cycle de vie d'Amazon S3 sont configurées pour vous aider à définir les actions qu'Amazon S3 doit effectuer au cours de la durée de vie d'un objet (par exemple, transférer les objets vers une autre classe de stockage, les archiver ou les supprimer au bout d'une certaine période). | |
164.308(a)(7)(ii)(A) | (A) Plan de sauvegarde des données (obligatoire). Établissez et mettez en œuvre des procédures permettant de créer et conserver des copies exactes des informations électroniques protégées sur la santé qui pourront être récupérées. | Cette règle garantit que les clusters Amazon Redshift disposent des paramètres préférés de votre organisation. Plus précisément, qu'ils disposent de fenêtres de maintenance préférées et de périodes de conservation des instantanés automatisées pour la base de données. Cette règle vous oblige à définir le allowVersionUpgrade. Par défaut, la valeur est true. Il vous permet également de définir éventuellement le preferredMaintenanceWindow (la valeur par défaut est samedi : 16h00 - samedi : 16h30) et la automatedSnapshotRetention période (la valeur par défaut est 1). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
164.308(a)(7)(ii)(B) | (B) Plan de reprise après sinistre (obligatoire). Établissez (et mettez en œuvre si besoin) des procédures pour restaurer les données en cas de perte. | La fonctionnalité de sauvegarde d'Amazon RDS crée des sauvegardes de vos bases de données et de vos journaux de transactions. Amazon RDS crée automatiquement un instantané du volume de stockage de votre instance de base de données, en sauvegardant l'intégralité de cette dernière. Le système vous permet de définir des périodes de conservation spécifiques pour répondre à vos exigences de résilience. | |
164.308(a)(7)(ii)(B) | (B) Plan de reprise après sinistre (obligatoire). Établissez (et mettez en œuvre si besoin) des procédures pour restaurer les données en cas de perte. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos tables Amazon DynamoDB font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
164.308(a)(7)(ii)(B) | (B) Plan de reprise après sinistre (obligatoire). Établissez (et mettez en œuvre si besoin) des procédures pour restaurer les données en cas de perte. | Activez cette règle pour vérifier que les informations ont été sauvegardées. Il gère également les sauvegardes en s'assurant que la point-in-time restauration est activée dans Amazon DynamoDB. La récupération permet de maintenir des sauvegardes continues de votre table pour les 35 derniers jours. | |
164.308(a)(7)(ii)(B) | (B) Plan de reprise après sinistre (obligatoire). Établissez (et mettez en œuvre si besoin) des procédures pour restaurer les données en cas de perte. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos volumes Amazon Elastic Block Store (Amazon EBS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
164.308(a)(7)(ii)(B) | (B) Plan de reprise après sinistre (obligatoire). Établissez (et mettez en œuvre si besoin) des procédures pour restaurer les données en cas de perte. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon Elastic File System (Amazon EFS) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
164.308(a)(7)(ii)(B) | (B) Plan de reprise après sinistre (obligatoire). Établissez (et mettez en œuvre si besoin) des procédures pour restaurer les données en cas de perte. | Lorsque les sauvegardes automatiques sont activées, Amazon ElastiCache crée une sauvegarde du cluster quotidiennement. La sauvegarde peut être conservée pendant un nombre de jours défini par votre organisation. Les sauvegardes automatiques peuvent constituer une protection contre la perte de données. En cas de défaillance, vous pouvez créer un nouveau cluster, ce qui restaurera vos données à partir de la sauvegarde la plus récente. | |
164.308(a)(7)(ii)(B) | (B) Plan de reprise après sinistre (obligatoire). Établissez (et mettez en œuvre si besoin) des procédures pour restaurer les données en cas de perte. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos instances Amazon Relational Database Service (Amazon RDS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
164.308(a)(7)(ii)(B) | (B) Plan de reprise après sinistre (obligatoire). Établissez (et mettez en œuvre si besoin) des procédures pour restaurer les données en cas de perte. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos clusters Amazon Redshift disposent d'instantanés automatisés. Lorsque les instantanés automatiques sont activés pour un cluster, Redshift prend régulièrement des instantanés de ce cluster. Par défaut, Redshift prend un instantané toutes les huit heures ou tous les 5 Go pour chaque nœud de modification des données, ou selon la première éventualité. | |
164.308(a)(7)(ii)(B) | (B) Plan de reprise après sinistre (obligatoire). Établissez (et mettez en œuvre si besoin) des procédures pour restaurer les données en cas de perte. | La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données. | |
164.308(a)(7)(ii)(B) | (B) Plan de reprise après sinistre (obligatoire). Établissez (et mettez en œuvre si besoin) des procédures pour restaurer les données en cas de perte. | La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative. | |
164.308(a)(7)(ii)(B) | (B) Plan de reprise après sinistre (obligatoire). Établissez (et mettez en œuvre si besoin) des procédures pour restaurer les données en cas de perte. | Assurez-vous que les politiques de cycle de vie d'Amazon S3 sont configurées pour vous aider à définir les actions qu'Amazon S3 doit effectuer au cours de la durée de vie d'un objet (par exemple, transférer les objets vers une autre classe de stockage, les archiver ou les supprimer au bout d'une certaine période). | |
164.308(a)(7)(ii)(C) | (C) Plan de fonctionnement d'urgence (obligatoire). Établissez (et mettez en œuvre si besoin) des procédures permettant de poursuivre les processus opérationnels essentiels pour protéger la sécurité des informations électroniques protégées sur la santé pendant le fonctionnement d'urgence. | Amazon DynamoDB Auto Scaling AWS utilise le service Application Auto Scaling pour ajuster la capacité de débit allouée afin de répondre automatiquement aux modèles de trafic réels. Cela permet à une table ou à un index secondaire global d'augmenter sa capacité de lecture/d'écriture approvisionnée afin de gérer les hausses soudaines de trafic sans limitation. | |
164.308(a)(7)(ii)(C) | (C) Plan de fonctionnement d'urgence (obligatoire). Établissez (et mettez en œuvre si besoin) des procédures permettant de poursuivre les processus opérationnels essentiels pour protéger la sécurité des informations électroniques protégées sur la santé pendant le fonctionnement d'urgence. | Activez l'équilibrage de charge entre zones pour vos équilibreurs de charge Elastic Load Balancing (ELB) afin de maintenir une capacité et une disponibilité adéquates. L'équilibrage de charge entre zones réduit la nécessité de maintenir un nombre équivalent d'instances dans chaque zone de disponibilité activée. Cela améliore également la capacité de votre application à gérer la perte d'une ou de plusieurs instances. | |
164.308(a)(7)(ii)(C) | (C) Plan de fonctionnement d'urgence (obligatoire). Établissez (et mettez en œuvre si besoin) des procédures permettant de poursuivre les processus opérationnels essentiels pour protéger la sécurité des informations électroniques protégées sur la santé pendant le fonctionnement d'urgence. | Cette règle garantit que la protection contre la suppression est activée pour Elastic Load Balancing. Utilisez cette fonctionnalité pour empêcher la suppression accidentelle ou malveillante de votre équilibreur de charge, ce qui pourrait entraîner une perte de disponibilité pour vos applications. | |
164.308(a)(7)(ii)(C) | (C) Plan de fonctionnement d'urgence (obligatoire). Établissez (et mettez en œuvre si besoin) des procédures permettant de poursuivre les processus opérationnels essentiels pour protéger la sécurité des informations électroniques protégées sur la santé pendant le fonctionnement d'urgence. | Assurez-vous que la protection contre la suppression est activée sur les instances Amazon Relational Database Service (Amazon RDS). Utilisez la protection contre la suppression pour empêcher la suppression accidentelle ou malveillante des instances Amazon RDS, ce qui pourrait entraîner une perte de disponibilité pour vos applications. | |
164.308(a)(7)(ii)(C) | (C) Plan de fonctionnement d'urgence (obligatoire). Établissez (et mettez en œuvre si besoin) des procédures permettant de poursuivre les processus opérationnels essentiels pour protéger la sécurité des informations électroniques protégées sur la santé pendant le fonctionnement d'urgence. | La prise en charge multi-AZ dans Amazon Relational Database Service (Amazon RDS) offre une disponibilité et une durabilité améliorées pour les instances de base de données. Lorsque vous mettez en service une instance de base de données multi-AZ, Amazon RDS crée automatiquement une instance de base de données principale et réplique de manière synchrone les données vers une instance de secours dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé. | |
164.308(a)(7)(ii)(C) | (C) Plan de fonctionnement d'urgence (obligatoire). Établissez (et mettez en œuvre si besoin) des procédures permettant de poursuivre les processus opérationnels essentiels pour protéger la sécurité des informations électroniques protégées sur la santé pendant le fonctionnement d'urgence. | Des tunnels Site-to-Site VPN redondants peuvent être mis en œuvre pour répondre aux exigences de résilience. Deux tunnels sont utilisés pour garantir la connectivité au cas où l'une des connexions Site-to-Site VPN deviendrait indisponible. Pour bénéficier d'une protection contre la perte de connectivité en cas d'indisponibilité de votre passerelle client, vous pouvez configurer une seconde connexion Site-to-Site VPN vers votre réseau Amazon Virtual Private Cloud (Amazon VPC) et votre passerelle privée virtuelle en ajoutant une seconde passerelle client. | |
164.308(a)(8) | (8) Norme : évaluation. Effectuez régulièrement des évaluations techniques et non techniques, d'abord en vous basant sur les normes mises en œuvre dans le cadre de cette règle, puis sur les changements environnementaux ou opérationnels qui affectent la sécurité des informations électroniques protégées sur la santé, qui mesurent le niveau de conformité des politiques et procédures de sécurité d'une entité par rapport aux exigences de cette sous-partie. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
164.308(a)(8) | (8) Norme : évaluation. Effectuez régulièrement des évaluations techniques et non techniques, d'abord en vous basant sur les normes mises en œuvre dans le cadre de cette règle, puis sur les changements environnementaux ou opérationnels qui affectent la sécurité des informations électroniques protégées sur la santé, qui mesurent le niveau de conformité des politiques et procédures de sécurité d'une entité par rapport aux exigences de cette sous-partie. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
164.312(a)(1) | (a)(1) Norme : contrôle d'accès. Mettez en œuvre des politiques et des procédures techniques pour les systèmes informatiques électroniques qui stockent des informations électroniques protégées sur la santé afin de n'autoriser l'accès qu'aux personnes ou aux logiciels auxquels les droits d'accès ont été accordés conformément au paragraphe 164.308(a)(4). | Assurez-vous que la méthode Service des métadonnées d'instance Version 2 (IMDSv2) est activée pour protéger l'accès aux métadonnées d'instance Amazon Elastic Compute Cloud (Amazon EC2) et leur contrôle. La méthode IMDSv2 utilise des contrôles basés sur la session. Avec IMDSv2, des contrôles peuvent être mis en œuvre pour limiter les modifications apportées aux métadonnées des instances. | |
164.312(a)(1) | (a)(1) Norme : contrôle d'accès. Mettez en œuvre des politiques et des procédures techniques pour les systèmes informatiques électroniques qui stockent des informations électroniques protégées sur la santé afin de n'autoriser l'accès qu'aux personnes ou aux logiciels auxquels les droits d'accès ont été accordés conformément au paragraphe 164.308(a)(4). | Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal. | |
164.312(a)(1) | (a)(1) Norme : contrôle d'accès. Mettez en œuvre des politiques et des procédures techniques pour les systèmes informatiques électroniques qui stockent des informations électroniques protégées sur la santé afin de n'autoriser l'accès qu'aux personnes ou aux logiciels auxquels les droits d'accès ont été accordés conformément au paragraphe 164.308(a)(4). | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation | |
164.312(a)(1) | (a)(1) Norme : contrôle d'accès. Mettez en œuvre des politiques et des procédures techniques pour les systèmes informatiques électroniques qui stockent des informations électroniques protégées sur la santé afin de n'autoriser l'accès qu'aux personnes ou aux logiciels auxquels les droits d'accès ont été accordés conformément au paragraphe 164.308(a)(4). | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation. | |
164.312(a)(1) | (a)(1) Norme : contrôle d'accès. Mettez en œuvre des politiques et des procédures techniques pour les systèmes informatiques électroniques qui stockent des informations électroniques protégées sur la santé afin de n'autoriser l'accès qu'aux personnes ou aux logiciels auxquels les droits d'accès ont été accordés conformément au paragraphe 164.308(a)(4). | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
164.312(a)(1) | (a)(1) Norme : contrôle d'accès. Mettez en œuvre des politiques et des procédures techniques pour les systèmes informatiques électroniques qui stockent des informations électroniques protégées sur la santé afin de n'autoriser l'accès qu'aux personnes ou aux logiciels auxquels les droits d'accès ont été accordés conformément au paragraphe 164.308(a)(4). | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
164.312(a)(1) | (a)(1) Norme : contrôle d'accès. Mettez en œuvre des politiques et des procédures techniques pour les systèmes informatiques électroniques qui stockent des informations électroniques protégées sur la santé afin de n'autoriser l'accès qu'aux personnes ou aux logiciels auxquels les droits d'accès ont été accordés conformément au paragraphe 164.308(a)(4). | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité. | |
164.312(a)(1) | (a)(1) Norme : contrôle d'accès. Mettez en œuvre des politiques et des procédures techniques pour les systèmes informatiques électroniques qui stockent des informations électroniques protégées sur la santé afin de n'autoriser l'accès qu'aux personnes ou aux logiciels auxquels les droits d'accès ont été accordés conformément au paragraphe 164.308(a)(4). | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
164.312(a)(1) | (a)(1) Norme : contrôle d'accès. Mettez en œuvre des politiques et des procédures techniques pour les systèmes informatiques électroniques qui stockent des informations électroniques protégées sur la santé afin de n'autoriser l'accès qu'aux personnes ou aux logiciels auxquels les droits d'accès ont été accordés conformément au paragraphe 164.308(a)(4). | AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
164.312(a)(1) | (a)(1) Norme : contrôle d'accès. Mettez en œuvre des politiques et des procédures techniques pour les systèmes informatiques électroniques qui stockent des informations électroniques protégées sur la santé afin de n'autoriser l'accès qu'aux personnes ou aux logiciels auxquels les droits d'accès ont été accordés conformément au paragraphe 164.308(a)(4). | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
164.312(a)(1) | (a)(1) Norme : contrôle d'accès. Mettez en œuvre des politiques et des procédures techniques pour les systèmes informatiques électroniques qui stockent des informations électroniques protégées sur la santé afin de n'autoriser l'accès qu'aux personnes ou aux logiciels auxquels les droits d'accès ont été accordés conformément au paragraphe 164.308(a)(4). | Les profils d'instance EC2 transmettent un rôle IAM à une instance EC2. L'association d'un profil d'instance à vos instances peut faciliter la gestion du moindre privilège et des autorisations. | |
164.312(a)(1) | (a)(1) Norme : contrôle d'accès. Mettez en œuvre des politiques et des procédures techniques pour les systèmes informatiques électroniques qui stockent des informations électroniques protégées sur la santé afin de n'autoriser l'accès qu'aux personnes ou aux logiciels auxquels les droits d'accès ont été accordés conformément au paragraphe 164.308(a)(4). | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
164.312(a)(1) | (a)(1) Norme : contrôle d'accès. Mettez en œuvre des politiques et des procédures techniques pour les systèmes informatiques électroniques qui stockent des informations électroniques protégées sur la santé afin de n'autoriser l'accès qu'aux personnes ou aux logiciels auxquels les droits d'accès ont été accordés conformément au paragraphe 164.308(a)(4). | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
164.312(a)(1) | (a)(1) Norme : contrôle d'accès. Mettez en œuvre des politiques et des procédures techniques pour les systèmes informatiques électroniques qui stockent des informations électroniques protégées sur la santé afin de n'autoriser l'accès qu'aux personnes ou aux logiciels auxquels les droits d'accès ont été accordés conformément au paragraphe 164.308(a)(4). | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
164.312(a)(1) | (a)(1) Norme : contrôle d'accès. Mettez en œuvre des politiques et des procédures techniques pour les systèmes informatiques électroniques qui stockent des informations électroniques protégées sur la santé afin de n'autoriser l'accès qu'aux personnes ou aux logiciels auxquels les droits d'accès ont été accordés conformément au paragraphe 164.308(a)(4). | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
164.312(a)(1) | (a)(1) Norme : contrôle d'accès. Mettez en œuvre des politiques et des procédures techniques pour les systèmes informatiques électroniques qui stockent des informations électroniques protégées sur la santé afin de n'autoriser l'accès qu'aux personnes ou aux logiciels auxquels les droits d'accès ont été accordés conformément au paragraphe 164.308(a)(4). | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
164.312(a)(1) | (a)(1) Norme : contrôle d'accès. Mettez en œuvre des politiques et des procédures techniques pour les systèmes informatiques électroniques qui stockent des informations électroniques protégées sur la santé afin de n'autoriser l'accès qu'aux personnes ou aux logiciels auxquels les droits d'accès ont été accordés conformément au paragraphe 164.308(a)(4). | Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès. | |
164.312(a)(1) | (a)(1) Norme : contrôle d'accès. Mettez en œuvre des politiques et des procédures techniques pour les systèmes informatiques électroniques qui stockent des informations électroniques protégées sur la santé afin de n'autoriser l'accès qu'aux personnes ou aux logiciels auxquels les droits d'accès ont été accordés conformément au paragraphe 164.308(a)(4). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les passerelles Internet ne sont connectées qu'à Amazon Virtual Private Cloud (Amazon VPC) autorisé. Les passerelles Internet permettent un accès bidirectionnel à Internet depuis et vers le réseau Amazon VPC, ce qui peut potentiellement entraîner un accès non autorisé aux ressources Amazon VPC. | |
164.312(a)(1) | (a)(1) Norme : contrôle d'accès. Mettez en œuvre des politiques et des procédures techniques pour les systèmes informatiques électroniques qui stockent des informations électroniques protégées sur la santé afin de n'autoriser l'accès qu'aux personnes ou aux logiciels auxquels les droits d'accès ont été accordés conformément au paragraphe 164.308(a)(4). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
164.312(a)(1) | (a)(1) Norme : contrôle d'accès. Mettez en œuvre des politiques et des procédures techniques pour les systèmes informatiques électroniques qui stockent des informations électroniques protégées sur la santé afin de n'autoriser l'accès qu'aux personnes ou aux logiciels auxquels les droits d'accès ont été accordés conformément au paragraphe 164.308(a)(4). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
164.312(a)(1) | (a)(1) Norme : contrôle d'accès. Mettez en œuvre des politiques et des procédures techniques pour les systèmes informatiques électroniques qui stockent des informations électroniques protégées sur la santé afin de n'autoriser l'accès qu'aux personnes ou aux logiciels auxquels les droits d'accès ont été accordés conformément au paragraphe 164.308(a)(4). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
164.312(a)(1) | (a)(1) Norme : contrôle d'accès. Mettez en œuvre des politiques et des procédures techniques pour les systèmes informatiques électroniques qui stockent des informations électroniques protégées sur la santé afin de n'autoriser l'accès qu'aux personnes ou aux logiciels auxquels les droits d'accès ont été accordés conformément au paragraphe 164.308(a)(4). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
164.312(a)(1) | (a)(1) Norme : contrôle d'accès. Mettez en œuvre des politiques et des procédures techniques pour les systèmes informatiques électroniques qui stockent des informations électroniques protégées sur la santé afin de n'autoriser l'accès qu'aux personnes ou aux logiciels auxquels les droits d'accès ont été accordés conformément au paragraphe 164.308(a)(4). | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
164.312(a)(1) | (a)(1) Norme : contrôle d'accès. Mettez en œuvre des politiques et des procédures techniques pour les systèmes informatiques électroniques qui stockent des informations électroniques protégées sur la santé afin de n'autoriser l'accès qu'aux personnes ou aux logiciels auxquels les droits d'accès ont été accordés conformément au paragraphe 164.308(a)(4). | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
164.312(a)(1) | (a)(1) Norme : contrôle d'accès. Mettez en œuvre des politiques et des procédures techniques pour les systèmes informatiques électroniques qui stockent des informations électroniques protégées sur la santé afin de n'autoriser l'accès qu'aux personnes ou aux logiciels auxquels les droits d'accès ont été accordés conformément au paragraphe 164.308(a)(4). | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
164.312(a)(1) | (a)(1) Norme : contrôle d'accès. Mettez en œuvre des politiques et des procédures techniques pour les systèmes informatiques électroniques qui stockent des informations électroniques protégées sur la santé afin de n'autoriser l'accès qu'aux personnes ou aux logiciels auxquels les droits d'accès ont été accordés conformément au paragraphe 164.308(a)(4). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
164.312(a)(1) | (a)(1) Norme : contrôle d'accès. Mettez en œuvre des politiques et des procédures techniques pour les systèmes informatiques électroniques qui stockent des informations électroniques protégées sur la santé afin de n'autoriser l'accès qu'aux personnes ou aux logiciels auxquels les droits d'accès ont été accordés conformément au paragraphe 164.308(a)(4). | Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale. | |
164.312(a)(1) | (a)(1) Norme : contrôle d'accès. Mettez en œuvre des politiques et des procédures techniques pour les systèmes informatiques électroniques qui stockent des informations électroniques protégées sur la santé afin de n'autoriser l'accès qu'aux personnes ou aux logiciels auxquels les droits d'accès ont été accordés conformément au paragraphe 164.308(a)(4). | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
164.312(a)(1) | (a)(1) Norme : contrôle d'accès. Mettez en œuvre des politiques et des procédures techniques pour les systèmes informatiques électroniques qui stockent des informations électroniques protégées sur la santé afin de n'autoriser l'accès qu'aux personnes ou aux logiciels auxquels les droits d'accès ont été accordés conformément au paragraphe 164.308(a)(4). | Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges. | |
164.312(a)(1) | (a)(1) Norme : contrôle d'accès. Mettez en œuvre des politiques et des procédures techniques pour les systèmes informatiques électroniques qui stockent des informations électroniques protégées sur la santé afin de n'autoriser l'accès qu'aux personnes ou aux logiciels auxquels les droits d'accès ont été accordés conformément au paragraphe 164.308(a)(4). | Assurez-vous que les informations d'authentification AWS_ACCESS_KEY_ID et AWS_SECRET_ACCESS_KEY n'existent pas dans les environnements de projet Codebuild. AWS Ne stockez pas ces variables en clair. Le stockage de ces variables en clair entraîne une exposition involontaire des données et un accès non autorisé. | |
164.312(a)(1) | (a)(1) Norme : contrôle d'accès. Mettez en œuvre des politiques et des procédures techniques pour les systèmes informatiques électroniques qui stockent des informations électroniques protégées sur la santé afin de n'autoriser l'accès qu'aux personnes ou aux logiciels auxquels les droits d'accès ont été accordés conformément au paragraphe 164.308(a)(4). | Assurez-vous que l'URL du référentiel source GitHub ou de Bitbucket ne contient pas de jetons d'accès personnels ni d'identifiants de connexion dans les environnements de projet AWS Codebuild. Utilisez OAuth au lieu de jetons d'accès personnels ou d'identifiants de connexion pour autoriser l'accès aux GitHub référentiels Bitbucket. | |
164.312(a)(1) | (a)(1) Norme : contrôle d'accès. Mettez en œuvre des politiques et des procédures techniques pour les systèmes informatiques électroniques qui stockent des informations électroniques protégées sur la santé afin de n'autoriser l'accès qu'aux personnes ou aux logiciels auxquels les droits d'accès ont été accordés conformément au paragraphe 164.308(a)(4). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
164.312(a)(1) | (a)(1) Norme : contrôle d'accès. Mettez en œuvre des politiques et des procédures techniques pour les systèmes informatiques électroniques qui stockent des informations électroniques protégées sur la santé afin de n'autoriser l'accès qu'aux personnes ou aux logiciels auxquels les droits d'accès ont été accordés conformément au paragraphe 164.308(a)(4). | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
164.312(a)(1) | (a)(1) Norme : contrôle d'accès. Mettez en œuvre des politiques et des procédures techniques pour les systèmes informatiques électroniques qui stockent des informations électroniques protégées sur la santé afin de n'autoriser l'accès qu'aux personnes ou aux logiciels auxquels les droits d'accès ont été accordés conformément au paragraphe 164.308(a)(4). | Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs. | |
164.312(a)(1) | (a)(1) Norme : contrôle d'accès. Mettez en œuvre des politiques et des procédures techniques pour les systèmes informatiques électroniques qui stockent des informations électroniques protégées sur la santé afin de n'autoriser l'accès qu'aux personnes ou aux logiciels auxquels les droits d'accès ont été accordés conformément au paragraphe 164.308(a)(4). | L'activation de l'accès en lecture seule aux conteneurs Amazon Elastic Container Service (ECS) permet de respecter le principe du moindre privilège. Cette option peut réduire les vecteurs d'attaque, car le système de fichiers de l'instance de conteneur ne peut être modifié que s'il dispose d'autorisations explicites de lecture et d'écriture. | |
164.312(a)(1) | (a)(1) Norme : contrôle d'accès. Mettez en œuvre des politiques et des procédures techniques pour les systèmes informatiques électroniques qui stockent des informations électroniques protégées sur la santé afin de n'autoriser l'accès qu'aux personnes ou aux logiciels auxquels les droits d'accès ont été accordés conformément au paragraphe 164.308(a)(4). | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
164.312(a)(1) | (a)(1) Norme : contrôle d'accès. Mettez en œuvre des politiques et des procédures techniques pour les systèmes informatiques électroniques qui stockent des informations électroniques protégées sur la santé afin de n'autoriser l'accès qu'aux personnes ou aux logiciels auxquels les droits d'accès ont été accordés conformément au paragraphe 164.308(a)(4). | Cette règle vérifie si les listes de contrôle d'accès (ACL) sont utilisées pour contrôler l'accès aux compartiments Amazon S3. Les ACL sont des mécanismes de contrôle d'accès existants pour les compartiments Amazon S3 antérieurs à AWS Identity and Access Management (IAM). Au lieu d'utiliser des listes ACL, il est recommandé d'utiliser des politiques IAM ou des politiques de compartiment S3 pour gérer plus facilement l'accès à vos compartiments S3. | |
164.312(a)(1) | (a)(1) Norme : contrôle d'accès. Mettez en œuvre des politiques et des procédures techniques pour les systèmes informatiques électroniques qui stockent des informations électroniques protégées sur la santé afin de n'autoriser l'accès qu'aux personnes ou aux logiciels auxquels les droits d'accès ont été accordés conformément au paragraphe ¤ 164.308(a)(4). | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
164.312(a)(2)(i) | (2) Spécifications de l'implémentation : (i) Identification unique de l'utilisateur (obligatoire). Attribuez des noms et/ou numéros uniques pour identifier et contrôler l'identité des utilisateurs. | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité. | |
164.312(a)(2)(ii) | (ii) Procédure d'accès d'urgence (obligatoire). Établissez (et mettez en œuvre si besoin) des procédures permettant d'accéder aux informations électroniques protégées sur la santé nécessaires en cas d'urgence. | La fonctionnalité de sauvegarde d'Amazon RDS crée des sauvegardes de vos bases de données et de vos journaux de transactions. Amazon RDS crée automatiquement un instantané du volume de stockage de votre instance de base de données, en sauvegardant l'intégralité de cette dernière. Le système vous permet de définir des périodes de conservation spécifiques pour répondre à vos exigences de résilience. | |
164.312(a)(2)(ii) | (ii) Procédure d'accès d'urgence (obligatoire). Établissez (et mettez en œuvre si besoin) des procédures permettant d'accéder aux informations électroniques protégées sur la santé nécessaires en cas d'urgence. | Activez cette règle pour vérifier que les informations ont été sauvegardées. Il gère également les sauvegardes en s'assurant que la point-in-time restauration est activée dans Amazon DynamoDB. La récupération permet de maintenir des sauvegardes continues de votre table pour les 35 derniers jours. | |
164.312(a)(2)(ii) | (ii) Procédure d'accès d'urgence (obligatoire). Établissez (et mettez en œuvre si besoin) des procédures permettant d'accéder aux informations électroniques protégées sur la santé nécessaires en cas d'urgence. | Lorsque les sauvegardes automatiques sont activées, Amazon ElastiCache crée une sauvegarde du cluster quotidiennement. La sauvegarde peut être conservée pendant un nombre de jours défini par votre organisation. Les sauvegardes automatiques peuvent constituer une protection contre la perte de données. En cas de défaillance, vous pouvez créer un nouveau cluster, ce qui restaurera vos données à partir de la sauvegarde la plus récente. | |
164.312(a)(2)(ii) | (ii) Procédure d'accès d'urgence (obligatoire). Établissez (et mettez en œuvre si besoin) des procédures permettant d'accéder aux informations électroniques protégées sur la santé nécessaires en cas d'urgence. | La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données. | |
164.312(a)(2)(ii) | (ii) Procédure d'accès d'urgence (obligatoire). Établissez (et mettez en œuvre si besoin) des procédures permettant d'accéder aux informations électroniques protégées sur la santé nécessaires en cas d'urgence. | La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative. | |
164.312(a)(2)(ii) | (ii) Procédure d'accès d'urgence (obligatoire). Établissez (et mettez en œuvre si besoin) des procédures permettant d'accéder aux informations électroniques protégées sur la santé nécessaires en cas d'urgence. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos tables Amazon DynamoDB font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
164.312(a)(2)(ii) | (ii) Procédure d'accès d'urgence (obligatoire). Établissez (et mettez en œuvre si besoin) des procédures permettant d'accéder aux informations électroniques protégées sur la santé nécessaires en cas d'urgence. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos volumes Amazon Elastic Block Store (Amazon EBS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
164.312(a)(2)(ii) | (ii) Procédure d'accès d'urgence (obligatoire). Établissez (et mettez en œuvre si besoin) des procédures permettant d'accéder aux informations électroniques protégées sur la santé nécessaires en cas d'urgence. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon Elastic File System (Amazon EFS) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
164.312(a)(2)(ii) | (ii) Procédure d'accès d'urgence (obligatoire). Établissez (et mettez en œuvre si besoin) des procédures permettant d'accéder aux informations électroniques protégées sur la santé nécessaires en cas d'urgence. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos clusters Amazon Redshift disposent d'instantanés automatisés. Lorsque les instantanés automatiques sont activés pour un cluster, Redshift prend régulièrement des instantanés de ce cluster. Par défaut, Redshift prend un instantané toutes les huit heures ou tous les 5 Go pour chaque nœud de modification des données, ou selon la première éventualité. | |
164.312(a)(2)(ii) | (ii) Procédure d'accès d'urgence (obligatoire). Établissez (et mettez en œuvre si besoin) des procédures permettant d'accéder aux informations électroniques protégées sur la santé nécessaires en cas d'urgence. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos instances Amazon Relational Database Service (Amazon RDS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
164.312(a)(2)(ii) | (ii) Procédure d'accès d'urgence (obligatoire). Établissez (et mettez en œuvre si besoin) des procédures permettant d'accéder aux informations électroniques protégées sur la santé nécessaires en cas d'urgence. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Elastic Compute Cloud (Amazon EC2) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
164.312(a)(2)(ii) | (ii) Procédure d'accès d'urgence (obligatoire). Établissez (et mettez en œuvre si besoin) des procédures permettant d'accéder aux informations électroniques protégées sur la santé nécessaires en cas d'urgence. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Aurora font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
164.312(a)(2)(ii) | (ii) Procédure d'accès d'urgence (obligatoire). Établissez (et mettez en œuvre si besoin) des procédures permettant d'accéder aux informations électroniques protégées sur la santé nécessaires en cas d'urgence. | Pour faciliter les processus de sauvegarde des données, assurez-vous que votre plan AWS de sauvegarde est défini pour une fréquence et une rétention minimales. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Cette règle vous permet de définir les paramètres requiredFrequencyValue (Config par défaut : 1), requiredRetentionDays (Config par défaut : 35) et requiredFrequencyUnit (Config par défaut : jours). La valeur réelle doit refléter les exigences de votre organisation. | |
164.312(a)(2)(ii) | (ii) Procédure d'accès d'urgence (obligatoire). Établissez (et mettez en œuvre si besoin) des procédures permettant d'accéder aux informations électroniques protégées sur la santé nécessaires en cas d'urgence. | Assurez-vous que vos points AWS de restauration Backup sont associés à une politique basée sur les ressources qui empêche la suppression de points de restauration. L'utilisation d'une politique basée sur les ressources pour empêcher la suppression des points de récupération peut aider à empêcher les suppressions accidentelles ou intentionnelles. | |
164.312(a)(2)(ii) | (ii) Procédure d'accès d'urgence (obligatoire). Établissez (et mettez en œuvre si besoin) des procédures permettant d'accéder aux informations électroniques protégées sur la santé nécessaires en cas d'urgence. | Assurez-vous que le chiffrement est activé pour vos points AWS de restauration Backup. Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données. | |
164.312(a)(2)(iv) | (iv) Chiffrement et déchiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer et de déchiffrer les informations électroniques protégées sur la santé. | Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.312(a)(2)(iv) | (iv) Chiffrement et déchiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer et de déchiffrer les informations électroniques protégées sur la santé. | Assurez-vous que les étapes de l'API REST Amazon API Gateway sont configurées avec des certificats SSL pour permettre aux systèmes backend d'authentifier que les demandes proviennent d'API Gateway. | |
164.312(a)(2)(iv) | (iv) Chiffrement et déchiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer et de déchiffrer les informations électroniques protégées sur la santé. | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le cryptage est activé pour vos AWS CloudTrail pistes. | |
164.312(a)(2)(iv) | (iv) Chiffrement et déchiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer et de déchiffrer les informations électroniques protégées sur la santé. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données. | |
164.312(a)(2)(iv) | (iv) Chiffrement et déchiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer et de déchiffrer les informations électroniques protégées sur la santé. | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour votre Amazon Elastic File System (EFS). | |
164.312(a)(2)(iv) | (iv) Chiffrement et déchiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer et de déchiffrer les informations électroniques protégées sur la santé. | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch OpenSearch Service (Service). | |
164.312(a)(2)(iv) | (iv) Chiffrement et déchiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer et de déchiffrer les informations électroniques protégées sur la santé. | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.312(a)(2)(iv) | (iv) Chiffrement et déchiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer et de déchiffrer les informations électroniques protégées sur la santé. | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes. | |
164.312(a)(2)(iv) | (iv) Chiffrement et déchiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer et de déchiffrer les informations électroniques protégées sur la santé. | Pour protéger les données en transit, assurez-vous que vos écouteurs SSL Elastic Load Balancer classiques utilisent une politique de sécurité prédéfinie. Elastic Load Balancing fournit des configurations de négociation SSL prédéfinies qui sont utilisées pour la négociation SSL lorsqu'une connexion est établie entre un client et votre équilibreur de charge. Les configurations de négociation SSL assurent la compatibilité avec un grand nombre de clients et utilisent des algorithmes de chiffrement à force élevée. Cette règle exige que vous définissiez une politique de sécurité prédéfinie pour vos écouteurs SSL. La politique de sécurité par défaut est la suivante : ELB SecurityPolicy -TLS-1-2-2017-0. La valeur réelle doit refléter les politiques de votre organisation | |
164.312(a)(2)(iv) | (iv) Chiffrement et déchiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer et de déchiffrer les informations électroniques protégées sur la santé. | Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.312(a)(2)(iv) | (iv) Chiffrement et déchiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer et de déchiffrer les informations électroniques protégées sur la santé. | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). | |
164.312(a)(2)(iv) | (iv) Chiffrement et déchiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer et de déchiffrer les informations électroniques protégées sur la santé. | Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données. | |
164.312(a)(2)(iv) | (iv) Chiffrement et déchiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer et de déchiffrer les informations électroniques protégées sur la santé. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos dans les instances Amazon RDS, activez le chiffrement au repos pour protéger ces données. | |
164.312(a)(2)(iv) | (iv) Chiffrement et déchiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer et de déchiffrer les informations électroniques protégées sur la santé. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
164.312(a)(2)(iv) | (iv) Chiffrement et déchiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer et de déchiffrer les informations électroniques protégées sur la santé. | Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.312(a)(2)(iv) | (iv) Chiffrement et déchiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer et de déchiffrer les informations électroniques protégées sur la santé. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données. | |
164.312(a)(2)(iv) | (iv) Chiffrement et déchiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer et de déchiffrer les informations électroniques protégées sur la santé. | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.312(a)(2)(iv) | (iv) Chiffrement et déchiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer et de déchiffrer les informations électroniques protégées sur la santé. | Assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans un compartiment Amazon S3, activez le chiffrement au repos pour protéger ces données. | |
164.312(a)(2)(iv) | (iv) Chiffrement et déchiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer et de déchiffrer les informations électroniques protégées sur la santé. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker terminal. Étant donné que les données sensibles peuvent exister au repos sur le SageMaker terminal, activez le chiffrement au repos pour protéger ces données. | |
164.312(a)(2)(iv) | (iv) Chiffrement et déchiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer et de déchiffrer les informations électroniques protégées sur la santé. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker ordinateur portable. Étant donné que des données sensibles peuvent exister au repos dans le SageMaker bloc-notes, activez le chiffrement au repos pour protéger ces données. | |
164.312(a)(2)(iv) | (iv) Chiffrement et déchiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer et de déchiffrer les informations électroniques protégées sur la santé. | Pour protéger les données au repos, assurez-vous que vos rubriques Amazon Simple Notification Service (Amazon SNS) nécessitent un chiffrement à l' AWS aide du Key Management Service AWS (KMS). Comme il peut y avoir des données sensibles au repos dans les messages publiés, activez le chiffrement au repos pour protéger ces données. | |
164.312(a)(2)(iv) | (iv) Chiffrement et déchiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer et de déchiffrer les informations électroniques protégées sur la santé. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le AWS Key Management Service (AWS KMS) est activé pour les AWS secrets de Secrets Manager. Comme il peut y avoir des données sensibles au repos dans les secrets de Secrets Manager, activez le chiffrement au repos pour protéger ces données. | |
164.312(a)(2)(iv) | (iv) Chiffrement et déchiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer et de déchiffrer les informations électroniques protégées sur la santé. | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes. | |
164.312(a)(2)(iv) | (iv) Chiffrement et déchiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer et de déchiffrer les informations électroniques protégées sur la santé. | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch Service. | |
164.312(a)(2)(iv) | (iv) Chiffrement et déchiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer et de déchiffrer les informations électroniques protégées sur la santé. | Étant donné que des données sensibles peuvent exister et pour protéger les données en transit, assurez-vous que le protocole HTTPS est activé pour les connexions à vos domaines Amazon OpenSearch Service. | |
164.312(a)(2)(iv) | (iv) Chiffrement et déchiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer et de déchiffrer les informations électroniques protégées sur la santé. | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.312(a)(2)(iv) | (iv) Chiffrement et déchiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer et de déchiffrer les informations électroniques protégées sur la santé. | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos flux Amazon Kinesis Streams. | |
164.312(b) | (b) Norme : contrôles d'audit. Installez du matériel, des logiciels et/ou des mécanismes procéduraux qui enregistrent et analysent l'activité des systèmes informatiques contenant ou utilisant des informations électroniques protégées sur la santé. | La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs. | |
164.312(b) | (b) Norme : contrôles d'audit. Installez du matériel, des logiciels et/ou des mécanismes procéduraux qui enregistrent et analysent l'activité des systèmes informatiques contenant ou utilisant des informations électroniques protégées sur la santé. | La surveillance de l'état Elastic Load Balancer (ELB) pour les groupes Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) permet de maintenir une capacité et une disponibilité adéquates. L'équilibreur de charge envoie périodiquement des pings, effectue des tentatives de connexion ou adresse des demandes pour tester l'état des instances Amazon EC2 dans un groupe Auto Scaling. Si une instance ne renvoie pas de rapport, le trafic est envoyé à une nouvelle instance Amazon EC2. | |
164.312(b) | (b) Norme : contrôles d'audit. Installez du matériel, des logiciels et/ou des mécanismes procéduraux qui enregistrent et analysent l'activité des systèmes informatiques contenant ou utilisant des informations électroniques protégées sur la santé. | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS. | |
164.312(b) | (b) Norme : contrôles d'audit. Installez du matériel, des logiciels et/ou des mécanismes procéduraux qui enregistrent et analysent l'activité des systèmes informatiques contenant ou utilisant des informations électroniques protégées sur la santé. | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
164.312(b) | (b) Norme : contrôles d'audit. Installez du matériel, des logiciels et/ou des mécanismes procéduraux qui enregistrent et analysent l'activité des systèmes informatiques contenant ou utilisant des informations électroniques protégées sur la santé. | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les Compte AWS informations qui ont accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
164.312(b) | (b) Norme : contrôles d'audit. Installez du matériel, des logiciels et/ou des mécanismes procéduraux qui enregistrent et analysent l'activité des systèmes informatiques contenant ou utilisant des informations électroniques protégées sur la santé. | Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement. | |
164.312(b) | (b) Norme : contrôles d'audit. Installez du matériel, des logiciels et/ou des mécanismes procéduraux qui enregistrent et analysent l'activité des systèmes informatiques contenant ou utilisant des informations électroniques protégées sur la santé. | Activez cette règle pour vous assurer que la capacité de débit allouée est vérifiée sur vos tables Amazon DynamoDB. Il s'agit du volume d'activité de lecture/d'écriture que chaque table peut prendre en charge. DynamoDB utilise ces informations pour réserver des ressources système suffisantes pour répondre à vos exigences de débit. Cette règle génère une alerte lorsque le débit approche de la limite maximale pour le compte d'un client. Cette règle vous permet de définir éventuellement les paramètres AccountRCU (ThresholdPercentage Config Default : 80) et AccountWCU ThresholdPercentage (Config Default : 80). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
164.312(b) | (b) Norme : contrôles d'audit. Installez du matériel, des logiciels et/ou des mécanismes procéduraux qui enregistrent et analysent l'activité des systèmes informatiques contenant ou utilisant des informations électroniques protégées sur la santé. | L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. | |
164.312(b) | (b) Norme : contrôles d'audit. Installez du matériel, des logiciels et/ou des mécanismes procéduraux qui enregistrent et analysent l'activité des systèmes informatiques contenant ou utilisant des informations électroniques protégées sur la santé. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
164.312(b) | (b) Norme : contrôles d'audit. Installez du matériel, des logiciels et/ou des mécanismes procéduraux qui enregistrent et analysent l'activité des systèmes informatiques contenant ou utilisant des informations électroniques protégées sur la santé. | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
164.312(b) | (b) Norme : contrôles d'audit. Installez du matériel, des logiciels et/ou des mécanismes procéduraux qui enregistrent et analysent l'activité des systèmes informatiques contenant ou utilisant des informations électroniques protégées sur la santé. | Activez Amazon Relational Database Service (Amazon RDS) pour surveiller la disponibilité d'Amazon RDS. Vous disposez ainsi d'une visibilité détaillée sur l'état de vos instances de base de données Amazon RDS. Lorsque le stockage Amazon RDS utilise plusieurs appareils physiques sous-jacents, Enhanced Monitoring collecte les données pour chaque appareil. En outre, lorsque l'instance de base de données Amazon RDS est exécutée dans le cadre d'un déploiement multi-AZ, les données de chaque appareil sur l'hôte secondaire sont collectées, ainsi que les métriques de l'hôte secondaire. | |
164.312(b) | (b) Norme : contrôles d'audit. Installez du matériel, des logiciels et/ou des mécanismes procéduraux qui enregistrent et analysent l'activité des systèmes informatiques contenant ou utilisant des informations électroniques protégées sur la santé. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
164.312(b) | (b) Norme : contrôles d'audit. Installez du matériel, des logiciels et/ou des mécanismes procéduraux qui enregistrent et analysent l'activité des systèmes informatiques contenant ou utilisant des informations électroniques protégées sur la santé. | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
164.312(b) | (b) Norme : contrôles d'audit. Installez du matériel, des logiciels et/ou des mécanismes procéduraux qui enregistrent et analysent l'activité des systèmes informatiques contenant ou utilisant des informations électroniques protégées sur la santé. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
164.312(b) | (b) Norme : contrôles d'audit. Installez du matériel, des logiciels et/ou des mécanismes procéduraux qui enregistrent et analysent l'activité des systèmes informatiques contenant ou utilisant des informations électroniques protégées sur la santé. | Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole. | |
164.312(b) | (b) Norme : contrôles d'audit. Installez du matériel, des logiciels et/ou des mécanismes procéduraux qui enregistrent et analysent l'activité des systèmes informatiques contenant ou utilisant des informations électroniques protégées sur la santé. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait. | |
164.312(b) | (b) Norme : contrôles d'audit. Installez du matériel, des logiciels et/ou des mécanismes procéduraux qui enregistrent et analysent l'activité des systèmes informatiques contenant ou utilisant des informations électroniques protégées sur la santé. | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
164.312(b) | (b) Norme : contrôles d'audit. Installez du matériel, des logiciels et/ou des mécanismes procéduraux qui enregistrent et analysent l'activité des systèmes informatiques contenant ou utilisant des informations électroniques protégées sur la santé. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
164.312(b) | (b) Norme : contrôles d'audit. Installez du matériel, des logiciels et/ou des mécanismes procéduraux qui enregistrent et analysent l'activité des systèmes informatiques contenant ou utilisant des informations électroniques protégées sur la santé. | Les notifications d'événements Amazon S3 peuvent alerter le personnel concerné de toute modification accidentelle ou intentionnelle des objets de votre compartiment. Voici quelques exemples d'alertes : création d'un nouvel objet, suppression d'un objet, restauration d'un objet, objets perdus ou répliqués. | |
164.312(b) | (b) Norme : contrôles d'audit. Installez du matériel, des logiciels et/ou des mécanismes procéduraux qui enregistrent et analysent l'activité des systèmes informatiques contenant ou utilisant des informations électroniques protégées sur la santé. | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
164.312(c)(1) | (c)(1) Norme : intégrité. Mettez en œuvre des politiques et des procédures pour protéger les informations électroniques protégées sur la santé contre toute modification ou suppression inappropriée. | Assurez-vous que le verrouillage est activé par défaut dans votre compartiment Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments S3, appliquez le verrouillage d'objet au repos pour protéger ces données. | |
164.312(c)(1) | (c)(1) Norme : intégrité. Mettez en œuvre des politiques et des procédures pour protéger les informations électroniques protégées sur la santé contre toute modification ou suppression inappropriée. | La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative. | |
164.312(c)(1) | (c)(1) Norme : intégrité. Mettez en œuvre des politiques et des procédures pour protéger les informations électroniques protégées sur la santé contre toute modification ou suppression inappropriée. | Utilisez la validation des fichiers AWS CloudTrail journaux pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonctionnalité est créée grâce à des algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection. | |
164.312(c)(1) | (c)(1) Norme : intégrité. Mettez en œuvre des politiques et des procédures pour protéger les informations électroniques protégées sur la santé contre toute modification ou suppression inappropriée. | Étant donné que des données sensibles peuvent exister et pour protéger les données en transit, assurez-vous que le protocole HTTPS est activé pour les connexions à vos domaines Amazon OpenSearch Service. | |
164.312(c)(1) | (c)(1) Norme : intégrité. Mettez en œuvre des politiques et des procédures pour protéger les informations électroniques protégées sur la santé contre toute modification ou suppression inappropriée. | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.312(c)(2) | (2) Spécifications de l'implémentation : mécanisme d'authentification des informations électroniques protégées sur la santé (adressable). Mettez en œuvre des mécanismes électroniques pour vérifier que les informations électroniques protégées sur la santé n'ont pas été modifiées ou supprimées de manière non autorisée. | Utilisez la validation des fichiers AWS CloudTrail journaux pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonctionnalité est créée grâce à des algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection. | |
164.312(c)(2) | (2) Spécifications de l'implémentation : mécanisme d'authentification des informations électroniques protégées sur la santé (adressable). Mettez en œuvre des mécanismes électroniques pour vérifier que les informations électroniques protégées sur la santé n'ont pas été modifiées ou supprimées de manière non autorisée. | Assurez-vous que le verrouillage est activé par défaut dans votre compartiment Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments S3, appliquez le verrouillage d'objet au repos pour protéger ces données. | |
164.312(c)(2) | (2) Spécifications de l'implémentation : mécanisme d'authentification des informations électroniques protégées sur la santé (adressable). Mettez en œuvre des mécanismes électroniques pour vérifier que les informations électroniques protégées sur la santé n'ont pas été modifiées ou supprimées de manière non autorisée. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données. | |
164.312(c)(2) | (2) Spécifications de l'implémentation : mécanisme d'authentification des informations électroniques protégées sur la santé (adressable). Mettez en œuvre des mécanismes électroniques pour vérifier que les informations électroniques protégées sur la santé n'ont pas été modifiées ou supprimées de manière non autorisée. | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.312(c)(2) | (2) Spécifications de l'implémentation : mécanisme d'authentification des informations électroniques protégées sur la santé (adressable). Mettez en œuvre des mécanismes électroniques pour vérifier que les informations électroniques protégées sur la santé n'ont pas été modifiées ou supprimées de manière non autorisée. | La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative. | |
164.312(d) | (d) Norme : authentification d'une personne ou d'une entité. Mettez en œuvre des procédures permettant de vérifier l'identité d'une personne ou une entité souhaitant accéder à des informations électroniques protégées sur la santé. | Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation. | |
164.312(d) | (d) Norme : authentification d'une personne ou d'une entité. Mettez en œuvre des procédures permettant de vérifier l'identité d'une personne ou une entité souhaitant accéder à des informations électroniques protégées sur la santé. | Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs. | |
164.312(d) | (d) Norme : authentification d'une personne ou d'une entité. Mettez en œuvre des procédures permettant de vérifier l'identité d'une personne ou une entité souhaitant accéder à des informations électroniques protégées sur la santé. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles. | |
164.312(d) | (d) Norme : authentification d'une personne ou d'une entité. Mettez en œuvre des procédures permettant de vérifier l'identité d'une personne ou une entité souhaitant accéder à des informations électroniques protégées sur la santé. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. La MFA ajoute une couche supplémentaire de protection pour les informations d'identification de connexion En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
164.312(d) | (d) Norme : authentification d'une personne ou d'une entité. Mettez en œuvre des procédures permettant de vérifier l'identité d'une personne ou une entité souhaitant accéder à des informations électroniques protégées sur la santé. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. La MFA ajoute une couche supplémentaire de protection pour les informations d'identification de connexion En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
164.312(e)(1) | (e)(1) Norme : sécurité des transmissions. Mettez en œuvre des mesures de sécurité techniques pour empêcher l'accès non autorisé aux informations électroniques protégées sur la santé transmises via un réseau de communications électroniques. | Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.312(e)(1) | (e)(1) Norme : sécurité des transmissions. Mettez en œuvre des mesures de sécurité techniques pour empêcher l'accès non autorisé aux informations électroniques protégées sur la santé transmises via un réseau de communications électroniques. | Assurez-vous que les étapes de l'API REST Amazon API Gateway sont configurées avec des certificats SSL pour permettre aux systèmes backend d'authentifier que les demandes proviennent d'API Gateway. | |
164.312(e)(1) | (e)(1) Norme : sécurité des transmissions. Mettez en œuvre des mesures de sécurité techniques pour empêcher l'accès non autorisé aux informations électroniques protégées sur la santé transmises via un réseau de communications électroniques. | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.312(e)(1) | (e)(1) Norme : sécurité des transmissions. Mettez en œuvre des mesures de sécurité techniques pour empêcher l'accès non autorisé aux informations électroniques protégées sur la santé transmises via un réseau de communications électroniques. | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes. | |
164.312(e)(1) | (e)(1) Norme : sécurité des transmissions. Mettez en œuvre des mesures de sécurité techniques pour empêcher l'accès non autorisé aux informations électroniques protégées sur la santé transmises via un réseau de communications électroniques. | Pour protéger les données en transit, assurez-vous que vos écouteurs SSL Elastic Load Balancer classiques utilisent une politique de sécurité prédéfinie. Elastic Load Balancing fournit des configurations de négociation SSL prédéfinies qui sont utilisées pour la négociation SSL lorsqu'une connexion est établie entre un client et votre équilibreur de charge. Les configurations de négociation SSL assurent la compatibilité avec un grand nombre de clients et utilisent des algorithmes de chiffrement à force élevée. Cette règle exige que vous définissiez une politique de sécurité prédéfinie pour vos écouteurs SSL. La politique de sécurité par défaut est la suivante : ELB SecurityPolicy -TLS-1-2-2017-0. La valeur réelle doit refléter les politiques de votre organisation | |
164.312(e)(1) | (e)(1) Norme : sécurité des transmissions. Mettez en œuvre des mesures de sécurité techniques pour empêcher l'accès non autorisé aux informations électroniques protégées sur la santé transmises via un réseau de communications électroniques. | Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.312(e)(1) | (e)(1) Norme : sécurité des transmissions. Mettez en œuvre des mesures de sécurité techniques pour empêcher l'accès non autorisé aux informations électroniques protégées sur la santé transmises via un réseau de communications électroniques. | Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.312(e)(1) | (e)(1) Norme : sécurité des transmissions. Mettez en œuvre des mesures de sécurité techniques pour empêcher l'accès non autorisé aux informations électroniques protégées sur la santé transmises via un réseau de communications électroniques. | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.312(e)(1) | (e)(1) Norme : sécurité des transmissions. Mettez en œuvre des mesures de sécurité techniques pour empêcher l'accès non autorisé aux informations électroniques protégées sur la santé transmises via un réseau de communications électroniques. | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
164.312(e)(1) | (e)(1) Norme : sécurité des transmissions. Mettez en œuvre des mesures de sécurité techniques pour empêcher l'accès non autorisé aux informations électroniques protégées sur la santé transmises via un réseau de communications électroniques. | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
164.312(e)(1) | (e)(1) Norme : sécurité des transmissions. Mettez en œuvre des mesures de sécurité techniques pour empêcher l'accès non autorisé aux informations électroniques protégées sur la santé transmises via un réseau de communications électroniques. | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
164.312(e)(1) | (e)(1) Norme : sécurité des transmissions. Mettez en œuvre des mesures de sécurité techniques pour empêcher l'accès non autorisé aux informations électroniques protégées sur la santé transmises via un réseau de communications électroniques. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
164.312(e)(1) | (e)(1) Norme : sécurité des transmissions. Mettez en œuvre des mesures de sécurité techniques pour empêcher l'accès non autorisé aux informations électroniques protégées sur la santé transmises via un réseau de communications électroniques. | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
164.312(e)(1) | (e)(1) Norme : sécurité des transmissions. Mettez en œuvre des mesures de sécurité techniques pour empêcher l'accès non autorisé aux informations électroniques protégées sur la santé transmises via un réseau de communications électroniques. | Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès. | |
164.312(e)(1) | (e)(1) Norme : sécurité des transmissions. Mettez en œuvre des mesures de sécurité techniques pour empêcher l'accès non autorisé aux informations électroniques protégées sur la santé transmises via un réseau de communications électroniques. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les passerelles Internet ne sont connectées qu'à Amazon Virtual Private Cloud (Amazon VPC) autorisé. Les passerelles Internet permettent un accès bidirectionnel à Internet depuis et vers le réseau Amazon VPC, ce qui peut potentiellement entraîner un accès non autorisé aux ressources Amazon VPC. | |
164.312(e)(1) | (e)(1) Norme : sécurité des transmissions. Mettez en œuvre des mesures de sécurité techniques pour empêcher l'accès non autorisé aux informations électroniques protégées sur la santé transmises via un réseau de communications électroniques. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
164.312(e)(1) | (e)(1) Norme : sécurité des transmissions. Mettez en œuvre des mesures de sécurité techniques pour empêcher l'accès non autorisé aux informations électroniques protégées sur la santé transmises via un réseau de communications électroniques. | Assurez-vous que les tables de routage Amazon EC2 ne disposent pas de routes illimitées vers une passerelle Internet. La suppression ou la limitation de l'accès à Internet pour les charges de travail au sein des réseaux Amazon VPC peut réduire les accès imprévus au sein de votre environnement. | |
164.312(e)(1) | (e)(1) Norme : sécurité des transmissions. Mettez en œuvre des mesures de sécurité techniques pour empêcher l'accès non autorisé aux informations électroniques protégées sur la santé transmises via un réseau de communications électroniques. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
164.312(e)(1) | (e)(1) Norme : sécurité des transmissions. Mettez en œuvre des mesures de sécurité techniques pour empêcher l'accès non autorisé aux informations électroniques protégées sur la santé transmises via un réseau de communications électroniques. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
164.312(e)(1) | (e)(1) Norme : sécurité des transmissions. Mettez en œuvre des mesures de sécurité techniques pour empêcher l'accès non autorisé aux informations électroniques protégées sur la santé transmises via un réseau de communications électroniques. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
164.312(e)(1) | (e)(1) Norme : sécurité des transmissions. Mettez en œuvre des mesures de sécurité techniques pour empêcher l'accès non autorisé aux informations électroniques protégées sur la santé transmises via un réseau de communications électroniques. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
164.312(e)(1) | (e)(1) Norme : sécurité des transmissions. Mettez en œuvre des mesures de sécurité techniques pour empêcher l'accès non autorisé aux informations électroniques protégées sur la santé transmises via un réseau de communications électroniques. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
164.312(e)(1) | (e)(1) Norme : sécurité des transmissions. Mettez en œuvre des mesures de sécurité techniques pour empêcher l'accès non autorisé aux informations électroniques protégées sur la santé transmises via un réseau de communications électroniques. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
164.312(e)(1) | (e)(1) Norme : sécurité des transmissions. Mettez en œuvre des mesures de sécurité techniques pour empêcher l'accès non autorisé aux informations électroniques protégées sur la santé transmises via un réseau de communications électroniques. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
164.312(e)(1) | (e)(1) Norme : sécurité des transmissions. Mettez en œuvre des mesures de sécurité techniques pour empêcher l'accès non autorisé aux informations électroniques protégées sur la santé transmises via un réseau de communications électroniques. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
164.312(e)(1) | (e)(1) Norme : sécurité des transmissions. Mettez en œuvre des mesures de sécurité techniques pour empêcher l'accès non autorisé aux informations électroniques protégées sur la santé transmises via un réseau de communications électroniques. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
164.312(e)(1) | (e)(1) Norme : sécurité des transmissions. Mettez en œuvre des mesures de sécurité techniques pour empêcher l'accès non autorisé aux informations électroniques protégées sur la santé transmises via un réseau de communications électroniques. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
164.312(e)(1) | (e)(1) Norme : sécurité des transmissions. Mettez en œuvre des mesures de sécurité techniques pour empêcher l'accès non autorisé aux informations électroniques protégées sur la santé transmises via un réseau de communications électroniques. | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
164.312(e)(1) | (e)(1) Norme : sécurité des transmissions. Mettez en œuvre des mesures de sécurité techniques pour empêcher l'accès non autorisé aux informations électroniques protégées sur la santé transmises via un réseau de communications électroniques. | Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale. | |
164.312(e)(1) | (e)(1) Norme : sécurité des transmissions. Mettez en œuvre des mesures de sécurité techniques pour empêcher l'accès non autorisé aux informations électroniques protégées sur la santé transmises via un réseau de communications électroniques. | Assurez-vous que AWS le WAF est activé sur les Elastic Load Balancers (ELB) pour protéger les applications Web. Un WAF aide à protéger vos applications Web ou API contre les menaces Web courantes. Ces attaques Web peuvent affecter la disponibilité, compromettre la sécurité ou consommer des ressources excessives dans votre environnement. | |
164.312(e)(1) | (e)(1) Norme : sécurité des transmissions. Mettez en œuvre des mesures de sécurité techniques pour empêcher l'accès non autorisé aux informations électroniques protégées sur la santé transmises via un réseau de communications électroniques. | AWS Le WAF vous permet de configurer un ensemble de règles (appelé liste de contrôle d'accès Web (ACL Web)) qui autorisent, bloquent ou comptent les requêtes Web en fonction de règles et de conditions de sécurité Web personnalisables que vous définissez. Assurez-vous que votre étape Amazon API Gateway est associée à une liste ACL Web WAF pour la protéger contre les attaques malveillantes | |
164.312(e)(1) | (e)(1) Norme : sécurité des transmissions. Mettez en œuvre des mesures de sécurité techniques pour empêcher l'accès non autorisé aux informations électroniques protégées sur la santé transmises via un réseau de communications électroniques. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
164.312(e)(1) | (e)(1) Norme : sécurité des transmissions. Mettez en œuvre des mesures de sécurité techniques pour empêcher l'accès non autorisé aux informations électroniques protégées sur la santé transmises via un réseau de communications électroniques. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
164.312(e)(1) | (e)(1) Norme : sécurité des transmissions. Mettez en œuvre des mesures de sécurité techniques pour empêcher l'accès non autorisé aux informations électroniques protégées sur la santé transmises via un réseau de communications électroniques. | Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs. | |
164.312(e)(1) | (e)(1) Norme : sécurité des transmissions. Mettez en œuvre des mesures de sécurité techniques pour empêcher l'accès non autorisé aux informations électroniques protégées sur la santé transmises via un réseau de communications électroniques. | Étant donné que des données sensibles peuvent exister et pour protéger les données en transit, assurez-vous que le protocole HTTPS est activé pour les connexions à vos domaines Amazon OpenSearch Service. | |
164.312(e)(1) | (e)(1) Norme : sécurité des transmissions. Mettez en œuvre des mesures de sécurité techniques pour empêcher l'accès non autorisé aux informations électroniques protégées sur la santé transmises via un réseau de communications électroniques. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
164.312(e)(1) | (e)(1) Norme : sécurité des transmissions. Mettez en œuvre des mesures de sécurité techniques pour empêcher l'accès non autorisé aux informations électroniques protégées sur la santé transmises via un réseau de communications électroniques. | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.312(e)(2)(i) | (i) Contrôles d'intégrité (adressables). Mettez en œuvre des mesures de sécurité pour vérifier que les informations électroniques protégées sur la santé transmises électroniquement n'ont pas été modifiées de manière inappropriée et inaperçue avant d'être supprimées. | Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.312(e)(2)(i) | (i) Contrôles d'intégrité (adressables). Mettez en œuvre des mesures de sécurité pour vérifier que les informations électroniques protégées sur la santé transmises électroniquement n'ont pas été modifiées de manière inappropriée et inaperçue avant d'être supprimées. | Assurez-vous que les étapes de l'API REST Amazon API Gateway sont configurées avec des certificats SSL pour permettre aux systèmes backend d'authentifier que les demandes proviennent d'API Gateway. | |
164.312(e)(2)(i) | (i) Contrôles d'intégrité (adressables). Mettez en œuvre des mesures de sécurité pour vérifier que les informations électroniques protégées sur la santé transmises électroniquement n'ont pas été modifiées de manière inappropriée et inaperçue avant d'être supprimées. | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.312(e)(2)(i) | (i) Contrôles d'intégrité (adressables). Mettez en œuvre des mesures de sécurité pour vérifier que les informations électroniques protégées sur la santé transmises électroniquement n'ont pas été modifiées de manière inappropriée et inaperçue avant d'être supprimées. | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes. | |
164.312(e)(2)(i) | (i) Contrôles d'intégrité (adressables). Mettez en œuvre des mesures de sécurité pour vérifier que les informations électroniques protégées sur la santé transmises électroniquement n'ont pas été modifiées de manière inappropriée et inaperçue avant d'être supprimées. | Pour protéger les données en transit, assurez-vous que vos écouteurs SSL Elastic Load Balancer classiques utilisent une politique de sécurité prédéfinie. Elastic Load Balancing fournit des configurations de négociation SSL prédéfinies qui sont utilisées pour la négociation SSL lorsqu'une connexion est établie entre un client et votre équilibreur de charge. Les configurations de négociation SSL assurent la compatibilité avec un grand nombre de clients et utilisent des algorithmes de chiffrement à force élevée. Cette règle exige que vous définissiez une politique de sécurité prédéfinie pour vos écouteurs SSL. La politique de sécurité par défaut est la suivante : ELB SecurityPolicy -TLS-1-2-2017-0. La valeur réelle doit refléter les politiques de votre organisation | |
164.312(e)(2)(i) | (i) Contrôles d'intégrité (adressables). Mettez en œuvre des mesures de sécurité pour vérifier que les informations électroniques protégées sur la santé transmises électroniquement n'ont pas été modifiées de manière inappropriée et inaperçue avant d'être supprimées. | Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.312(e)(2)(i) | (i) Contrôles d'intégrité (adressables). Mettez en œuvre des mesures de sécurité pour vérifier que les informations électroniques protégées sur la santé transmises électroniquement n'ont pas été modifiées de manière inappropriée et inaperçue avant d'être supprimées. | Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.312(e)(2)(i) | (i) Contrôles d'intégrité (adressables). Mettez en œuvre des mesures de sécurité pour vérifier que les informations électroniques protégées sur la santé transmises électroniquement n'ont pas été modifiées de manière inappropriée et inaperçue avant d'être supprimées. | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.312(e)(2)(i) | (i) Contrôles d'intégrité (adressables). Mettez en œuvre des mesures de sécurité pour vérifier que les informations électroniques protégées sur la santé transmises électroniquement n'ont pas été modifiées de manière inappropriée et inaperçue avant d'être supprimées. | Étant donné que des données sensibles peuvent exister et pour protéger les données en transit, assurez-vous que le protocole HTTPS est activé pour les connexions à vos domaines Amazon OpenSearch Service. | |
164.312(e)(2)(i) | (i) Contrôles d'intégrité (adressables). Mettez en œuvre des mesures de sécurité pour vérifier que les informations électroniques protégées sur la santé transmises électroniquement n'ont pas été modifiées de manière inappropriée et inaperçue avant d'être supprimées. | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.312(e)(2)(ii) | (ii) Chiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer les informations électroniques protégées sur la santé dès que nécessaire. | Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.312(e)(2)(ii) | (ii) Chiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer les informations électroniques protégées sur la santé dès que nécessaire. | Assurez-vous que les étapes de l'API REST Amazon API Gateway sont configurées avec des certificats SSL pour permettre aux systèmes backend d'authentifier que les demandes proviennent d'API Gateway. | |
164.312(e)(2)(ii) | (ii) Chiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer les informations électroniques protégées sur la santé dès que nécessaire. | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le cryptage est activé pour vos AWS CloudTrail pistes. | |
164.312(e)(2)(ii) | (ii) Chiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer les informations électroniques protégées sur la santé dès que nécessaire. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données. | |
164.312(e)(2)(ii) | (ii) Chiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer les informations électroniques protégées sur la santé dès que nécessaire. | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour votre Amazon Elastic File System (EFS). | |
164.312(e)(2)(ii) | (ii) Chiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer les informations électroniques protégées sur la santé dès que nécessaire. | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch OpenSearch Service (Service). | |
164.312(e)(2)(ii) | (ii) Chiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer les informations électroniques protégées sur la santé dès que nécessaire. | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.312(e)(2)(ii) | (ii) Chiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer les informations électroniques protégées sur la santé dès que nécessaire. | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes. | |
164.312(e)(2)(ii) | (ii) Chiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer les informations électroniques protégées sur la santé dès que nécessaire. | Pour protéger les données en transit, assurez-vous que vos écouteurs SSL Elastic Load Balancer classiques utilisent une politique de sécurité prédéfinie. Elastic Load Balancing fournit des configurations de négociation SSL prédéfinies qui sont utilisées pour la négociation SSL lorsqu'une connexion est établie entre un client et votre équilibreur de charge. Les configurations de négociation SSL assurent la compatibilité avec un grand nombre de clients et utilisent des algorithmes de chiffrement à force élevée. Cette règle exige que vous définissiez une politique de sécurité prédéfinie pour vos écouteurs SSL. La politique de sécurité par défaut est la suivante : ELB SecurityPolicy -TLS-1-2-2017-0. La valeur réelle doit refléter les politiques de votre organisation | |
164.312(e)(2)(ii) | (ii) Chiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer les informations électroniques protégées sur la santé dès que nécessaire. | Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.312(e)(2)(ii) | (ii) Chiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer les informations électroniques protégées sur la santé dès que nécessaire. | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). | |
164.312(e)(2)(ii) | (ii) Chiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer les informations électroniques protégées sur la santé dès que nécessaire. | Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données. | |
164.312(e)(2)(ii) | (ii) Chiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer les informations électroniques protégées sur la santé dès que nécessaire. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos dans les instances Amazon RDS, activez le chiffrement au repos pour protéger ces données. | |
164.312(e)(2)(ii) | (ii) Chiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer les informations électroniques protégées sur la santé dès que nécessaire. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
164.312(e)(2)(ii) | (ii) Chiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer les informations électroniques protégées sur la santé dès que nécessaire. | Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.312(e)(2)(ii) | (ii) Chiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer les informations électroniques protégées sur la santé dès que nécessaire. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données. | |
164.312(e)(2)(ii) | (ii) Chiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer les informations électroniques protégées sur la santé dès que nécessaire. | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.312(e)(2)(ii) | (ii) Chiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer les informations électroniques protégées sur la santé dès que nécessaire. | Assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans un compartiment Amazon S3, activez le chiffrement au repos pour protéger ces données. | |
164.312(e)(2)(ii) | (ii) Chiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer les informations électroniques protégées sur la santé dès que nécessaire. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker terminal. Étant donné que les données sensibles peuvent exister au repos sur le SageMaker terminal, activez le chiffrement au repos pour protéger ces données. | |
164.312(e)(2)(ii) | (ii) Chiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer les informations électroniques protégées sur la santé dès que nécessaire. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker ordinateur portable. Étant donné que des données sensibles peuvent exister au repos dans le SageMaker bloc-notes, activez le chiffrement au repos pour protéger ces données. | |
164.312(e)(2)(ii) | (ii) Chiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer les informations électroniques protégées sur la santé dès que nécessaire. | Pour protéger les données au repos, assurez-vous que vos rubriques Amazon Simple Notification Service (Amazon SNS) nécessitent un chiffrement à l' AWS aide du Key Management Service AWS (KMS). Comme il peut y avoir des données sensibles au repos dans les messages publiés, activez le chiffrement au repos pour protéger ces données. | |
164.312(e)(2)(ii) | (ii) Chiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer les informations électroniques protégées sur la santé dès que nécessaire. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le AWS Key Management Service (AWS KMS) est activé pour les AWS secrets de Secrets Manager. Comme il peut y avoir des données sensibles au repos dans les secrets de Secrets Manager, activez le chiffrement au repos pour protéger ces données. | |
164.312(e)(2)(ii) | (ii) Chiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer les informations électroniques protégées sur la santé dès que nécessaire. | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes. | |
164.312(e)(2)(ii) | (ii) Chiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer les informations électroniques protégées sur la santé dès que nécessaire. | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch Service. | |
164.312(e)(2)(ii) | (ii) Chiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer les informations électroniques protégées sur la santé dès que nécessaire. | Étant donné que des données sensibles peuvent exister et pour protéger les données en transit, assurez-vous que le protocole HTTPS est activé pour les connexions à vos domaines Amazon OpenSearch Service. | |
164.312(e)(2)(ii) | (ii) Chiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer les informations électroniques protégées sur la santé dès que nécessaire. | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.312(e)(2)(ii) | (ii) Chiffrement (adressable). Mettez en œuvre un mécanisme permettant de chiffrer les informations électroniques protégées sur la santé dès que nécessaire. | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos flux Amazon Kinesis Streams. | |
164.314(b)(1) | (b)(1) Norme : exigences relatives aux plans de santé collectifs. Excepté si les seules informations électroniques protégées sur la santé divulguées à un promoteur sont transmises conformément au paragraphe ¤ 164.504(f)(1)(ii) ou (iii), ou comme autorisé en vertu du paragraphe ¤ 164.508, un plan de santé collectif doit comporter des documents qui prévoient que son promoteur protégera de manière raisonnable et appropriée les informations électroniques protégées sur la santé créées, reçues, conservées ou transmises par le/au promoteur du plan pour le compte du plan de santé collectif. | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le cryptage est activé pour vos AWS CloudTrail pistes. | |
164.314(b)(1) | (b)(1) Norme : exigences relatives aux plans de santé collectifs. Excepté si les seules informations électroniques protégées sur la santé divulguées à un promoteur sont transmises conformément au paragraphe ¤ 164.504(f)(1)(ii) ou (iii), ou comme autorisé en vertu du paragraphe ¤ 164.508, un plan de santé collectif doit comporter des documents qui prévoient que son promoteur protégera de manière raisonnable et appropriée les informations électroniques protégées sur la santé créées, reçues, conservées ou transmises par le/au promoteur du plan pour le compte du plan de santé collectif. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données. | |
164.314(b)(1) | (b)(1) Norme : exigences relatives aux plans de santé collectifs. Excepté si les seules informations électroniques protégées sur la santé divulguées à un promoteur sont transmises conformément au paragraphe ¤ 164.504(f)(1)(ii) ou (iii), ou comme autorisé en vertu du paragraphe ¤ 164.508, un plan de santé collectif doit comporter des documents qui prévoient que son promoteur protégera de manière raisonnable et appropriée les informations électroniques protégées sur la santé créées, reçues, conservées ou transmises par le/au promoteur du plan pour le compte du plan de santé collectif. | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch OpenSearch Service (Service). | |
164.314(b)(1) | (b)(1) Norme : exigences relatives aux plans de santé collectifs. Excepté si les seules informations électroniques protégées sur la santé divulguées à un promoteur sont transmises conformément au paragraphe ¤ 164.504(f)(1)(ii) ou (iii), ou comme autorisé en vertu du paragraphe ¤ 164.508, un plan de santé collectif doit comporter des documents qui prévoient que son promoteur protégera de manière raisonnable et appropriée les informations électroniques protégées sur la santé créées, reçues, conservées ou transmises par le/au promoteur du plan pour le compte du plan de santé collectif. | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.314(b)(1) | (b)(1) Norme : exigences relatives aux plans de santé collectifs. Excepté si les seules informations électroniques protégées sur la santé divulguées à un promoteur sont transmises conformément au paragraphe ¤ 164.504(f)(1)(ii) ou (iii), ou comme autorisé en vertu du paragraphe ¤ 164.508, un plan de santé collectif doit comporter des documents qui prévoient que son promoteur protégera de manière raisonnable et appropriée les informations électroniques protégées sur la santé créées, reçues, conservées ou transmises par le/au promoteur du plan pour le compte du plan de santé collectif. | Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.314(b)(1) | (b)(1) Norme : exigences relatives aux plans de santé collectifs. Excepté si les seules informations électroniques protégées sur la santé divulguées à un promoteur sont transmises conformément au paragraphe ¤ 164.504(f)(1)(ii) ou (iii), ou comme autorisé en vertu du paragraphe ¤ 164.508, un plan de santé collectif doit comporter des documents qui prévoient que son promoteur protégera de manière raisonnable et appropriée les informations électroniques protégées sur la santé créées, reçues, conservées ou transmises par le/au promoteur du plan pour le compte du plan de santé collectif. | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). | |
164.314(b)(1) | (b)(1) Norme : exigences relatives aux plans de santé collectifs. Excepté si les seules informations électroniques protégées sur la santé divulguées à un promoteur sont transmises conformément au paragraphe ¤ 164.504(f)(1)(ii) ou (iii), ou comme autorisé en vertu du paragraphe ¤ 164.508, un plan de santé collectif doit comporter des documents qui prévoient que son promoteur protégera de manière raisonnable et appropriée les informations électroniques protégées sur la santé créées, reçues, conservées ou transmises par le/au promoteur du plan pour le compte du plan de santé collectif. | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch Service. | |
164.314(b)(1) | (b)(1) Norme : exigences relatives aux plans de santé collectifs. Excepté si les seules informations électroniques protégées sur la santé divulguées à un promoteur sont transmises conformément au paragraphe ¤ 164.504(f)(1)(ii) ou (iii), ou comme autorisé en vertu du paragraphe ¤ 164.508, un plan de santé collectif doit comporter des documents qui prévoient que son promoteur protégera de manière raisonnable et appropriée les informations électroniques protégées sur la santé créées, reçues, conservées ou transmises par le/au promoteur du plan pour le compte du plan de santé collectif. | Étant donné que des données sensibles peuvent exister et pour protéger les données en transit, assurez-vous que le protocole HTTPS est activé pour les connexions à vos domaines Amazon OpenSearch Service. | |
164.314(b)(1) | (b)(1) Norme : exigences relatives aux plans de santé collectifs. Excepté si les seules informations électroniques protégées sur la santé divulguées à un promoteur sont transmises conformément au paragraphe ¤ 164.504(f)(1)(ii) ou (iii), ou comme autorisé en vertu du paragraphe ¤ 164.508, un plan de santé collectif doit comporter des documents qui prévoient que son promoteur protégera de manière raisonnable et appropriée les informations électroniques protégées sur la santé créées, reçues, conservées ou transmises par le/au promoteur du plan pour le compte du plan de santé collectif. | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.314(b)(1) | (b)(1) Norme : exigences relatives aux plans de santé collectifs. Excepté si les seules informations électroniques protégées sur la santé divulguées à un promoteur sont transmises conformément au paragraphe ¤ 164.504(f)(1)(ii) ou (iii), ou comme autorisé en vertu du paragraphe ¤ 164.508, un plan de santé collectif doit comporter des documents qui prévoient que son promoteur protégera de manière raisonnable et appropriée les informations électroniques protégées sur la santé créées, reçues, conservées ou transmises par le/au promoteur du plan pour le compte du plan de santé collectif. | Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données. | |
164.314(b)(1) | (b)(1) Norme : exigences relatives aux plans de santé collectifs. Excepté si les seules informations électroniques protégées sur la santé divulguées à un promoteur sont transmises conformément au paragraphe ¤ 164.504(f)(1)(ii) ou (iii), ou comme autorisé en vertu du paragraphe ¤ 164.508, un plan de santé collectif doit comporter des documents qui prévoient que son promoteur protégera de manière raisonnable et appropriée les informations électroniques protégées sur la santé créées, reçues, conservées ou transmises par le/au promoteur du plan pour le compte du plan de santé collectif. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos dans les instances Amazon RDS, activez le chiffrement au repos pour protéger ces données. | |
164.314(b)(1) | (b)(1) Norme : exigences relatives aux plans de santé collectifs. Excepté si les seules informations électroniques protégées sur la santé divulguées à un promoteur sont transmises conformément au paragraphe ¤ 164.504(f)(1)(ii) ou (iii), ou comme autorisé en vertu du paragraphe ¤ 164.508, un plan de santé collectif doit comporter des documents qui prévoient que son promoteur protégera de manière raisonnable et appropriée les informations électroniques protégées sur la santé créées, reçues, conservées ou transmises par le/au promoteur du plan pour le compte du plan de santé collectif. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
164.314(b)(1) | (b)(1) Norme : exigences relatives aux plans de santé collectifs. Excepté si les seules informations électroniques protégées sur la santé divulguées à un promoteur sont transmises conformément au paragraphe ¤ 164.504(f)(1)(ii) ou (iii), ou comme autorisé en vertu du paragraphe ¤ 164.508, un plan de santé collectif doit comporter des documents qui prévoient que son promoteur protégera de manière raisonnable et appropriée les informations électroniques protégées sur la santé créées, reçues, conservées ou transmises par le/au promoteur du plan pour le compte du plan de santé collectif. | Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.314(b)(1) | (b)(1) Norme : exigences relatives aux plans de santé collectifs. Excepté si les seules informations électroniques protégées sur la santé divulguées à un promoteur sont transmises conformément au paragraphe ¤ 164.504(f)(1)(ii) ou (iii), ou comme autorisé en vertu du paragraphe ¤ 164.508, un plan de santé collectif doit comporter des documents qui prévoient que son promoteur protégera de manière raisonnable et appropriée les informations électroniques protégées sur la santé créées, reçues, conservées ou transmises par le/au promoteur du plan pour le compte du plan de santé collectif. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
164.314(b)(1) | (b)(1) Norme : exigences relatives aux plans de santé collectifs. Excepté si les seules informations électroniques protégées sur la santé divulguées à un promoteur sont transmises conformément au paragraphe ¤ 164.504(f)(1)(ii) ou (iii), ou comme autorisé en vertu du paragraphe ¤ 164.508, un plan de santé collectif doit comporter des documents qui prévoient que son promoteur protégera de manière raisonnable et appropriée les informations électroniques protégées sur la santé créées, reçues, conservées ou transmises par le/au promoteur du plan pour le compte du plan de santé collectif. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
164.314(b)(1) | (b)(1) Norme : exigences relatives aux plans de santé collectifs. Excepté si les seules informations électroniques protégées sur la santé divulguées à un promoteur sont transmises conformément au paragraphe ¤ 164.504(f)(1)(ii) ou (iii), ou comme autorisé en vertu du paragraphe ¤ 164.508, un plan de santé collectif doit comporter des documents qui prévoient que son promoteur protégera de manière raisonnable et appropriée les informations électroniques protégées sur la santé créées, reçues, conservées ou transmises par le/au promoteur du plan pour le compte du plan de santé collectif. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données. | |
164.314(b)(1) | (b)(1) Norme : exigences relatives aux plans de santé collectifs. Excepté si les seules informations électroniques protégées sur la santé divulguées à un promoteur sont transmises conformément au paragraphe ¤ 164.504(f)(1)(ii) ou (iii), ou comme autorisé en vertu du paragraphe ¤ 164.508, un plan de santé collectif doit comporter des documents qui prévoient que son promoteur protégera de manière raisonnable et appropriée les informations électroniques protégées sur la santé créées, reçues, conservées ou transmises par le/au promoteur du plan pour le compte du plan de santé collectif. | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.314(b)(1) | (b)(1) Norme : exigences relatives aux plans de santé collectifs. Excepté si les seules informations électroniques protégées sur la santé divulguées à un promoteur sont transmises conformément au paragraphe ¤ 164.504(f)(1)(ii) ou (iii), ou comme autorisé en vertu du paragraphe ¤ 164.508, un plan de santé collectif doit comporter des documents qui prévoient que son promoteur protégera de manière raisonnable et appropriée les informations électroniques protégées sur la santé créées, reçues, conservées ou transmises par le/au promoteur du plan pour le compte du plan de santé collectif. | Assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans un compartiment Amazon S3, activez le chiffrement au repos pour protéger ces données. | |
164.314(b)(1) | (b)(1) Norme : exigences relatives aux plans de santé collectifs. Excepté si les seules informations électroniques protégées sur la santé divulguées à un promoteur sont transmises conformément au paragraphe ¤ 164.504(f)(1)(ii) ou (iii), ou comme autorisé en vertu du paragraphe ¤ 164.508, un plan de santé collectif doit comporter des documents qui prévoient que son promoteur protégera de manière raisonnable et appropriée les informations électroniques protégées sur la santé créées, reçues, conservées ou transmises par le/au promoteur du plan pour le compte du plan de santé collectif. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker terminal. Étant donné que les données sensibles peuvent exister au repos sur le SageMaker terminal, activez le chiffrement au repos pour protéger ces données. | |
164.314(b)(1) | (b)(1) Norme : exigences relatives aux plans de santé collectifs. Excepté si les seules informations électroniques protégées sur la santé divulguées à un promoteur sont transmises conformément au paragraphe ¤ 164.504(f)(1)(ii) ou (iii), ou comme autorisé en vertu du paragraphe ¤ 164.508, un plan de santé collectif doit comporter des documents qui prévoient que son promoteur protégera de manière raisonnable et appropriée les informations électroniques protégées sur la santé créées, reçues, conservées ou transmises par le/au promoteur du plan pour le compte du plan de santé collectif. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker ordinateur portable. Étant donné que des données sensibles peuvent exister au repos dans le SageMaker bloc-notes, activez le chiffrement au repos pour protéger ces données. | |
164.314(b)(2) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; (ii) veiller à ce que la séparation requise par le paragraphe ¤ 164.504(f)(2)(iii) soit appuyée par des mesures de sécurité appropriées ; (iii) veiller à ce que tout agent, ou sous-traitant, à qui ces informations sont fournies s'engage à mettre en œuvre des mesures de sécurité appropriées pour protéger les informations ; et (iv) signaler au plan de santé collectif tout incident de sécurité connu. | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le cryptage est activé pour vos AWS CloudTrail pistes. | |
164.314(b)(2) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; (ii) veiller à ce que la séparation requise par le paragraphe ¤ 164.504(f)(2)(iii) soit appuyée par des mesures de sécurité appropriées ; (iii) veiller à ce que tout agent, ou sous-traitant, à qui ces informations sont fournies s'engage à mettre en œuvre des mesures de sécurité appropriées pour protéger les informations ; et (iv) signaler au plan de santé collectif tout incident de sécurité connu. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données. | |
164.314(b)(2) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; (ii) veiller à ce que la séparation requise par le paragraphe ¤ 164.504(f)(2)(iii) soit appuyée par des mesures de sécurité appropriées ; (iii) veiller à ce que tout agent, ou sous-traitant, à qui ces informations sont fournies s'engage à mettre en œuvre des mesures de sécurité appropriées pour protéger les informations ; et (iv) signaler au plan de santé collectif tout incident de sécurité connu. | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch OpenSearch Service (Service). | |
164.314(b)(2) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; (ii) veiller à ce que la séparation requise par le paragraphe ¤ 164.504(f)(2)(iii) soit appuyée par des mesures de sécurité appropriées ; (iii) veiller à ce que tout agent, ou sous-traitant, à qui ces informations sont fournies s'engage à mettre en œuvre des mesures de sécurité appropriées pour protéger les informations ; et (iv) signaler au plan de santé collectif tout incident de sécurité connu. | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.314(b)(2) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; (ii) veiller à ce que la séparation requise par le paragraphe ¤ 164.504(f)(2)(iii) soit appuyée par des mesures de sécurité appropriées ; (iii) veiller à ce que tout agent, ou sous-traitant, à qui ces informations sont fournies s'engage à mettre en œuvre des mesures de sécurité appropriées pour protéger les informations ; et (iv) signaler au plan de santé collectif tout incident de sécurité connu. | Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.314(b)(2) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; (ii) veiller à ce que la séparation requise par le paragraphe ¤ 164.504(f)(2)(iii) soit appuyée par des mesures de sécurité appropriées ; (iii) veiller à ce que tout agent, ou sous-traitant, à qui ces informations sont fournies s'engage à mettre en œuvre des mesures de sécurité appropriées pour protéger les informations ; et (iv) signaler au plan de santé collectif tout incident de sécurité connu. | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). | |
164.314(b)(2) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; (ii) veiller à ce que la séparation requise par le paragraphe ¤ 164.504(f)(2)(iii) soit appuyée par des mesures de sécurité appropriées ; (iii) veiller à ce que tout agent, ou sous-traitant, à qui ces informations sont fournies s'engage à mettre en œuvre des mesures de sécurité appropriées pour protéger les informations ; et (iv) signaler au plan de santé collectif tout incident de sécurité connu. | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch Service. | |
164.314(b)(2) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; (ii) veiller à ce que la séparation requise par le paragraphe ¤ 164.504(f)(2)(iii) soit appuyée par des mesures de sécurité appropriées ; (iii) veiller à ce que tout agent, ou sous-traitant, à qui ces informations sont fournies s'engage à mettre en œuvre des mesures de sécurité appropriées pour protéger les informations ; et (iv) signaler au plan de santé collectif tout incident de sécurité connu. | Étant donné que des données sensibles peuvent exister et pour protéger les données en transit, assurez-vous que le protocole HTTPS est activé pour les connexions à vos domaines Amazon OpenSearch Service. | |
164.314(b)(2) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; (ii) veiller à ce que la séparation requise par le paragraphe ¤ 164.504(f)(2)(iii) soit appuyée par des mesures de sécurité appropriées ; (iii) veiller à ce que tout agent, ou sous-traitant, à qui ces informations sont fournies s'engage à mettre en œuvre des mesures de sécurité appropriées pour protéger les informations ; et (iv) signaler au plan de santé collectif tout incident de sécurité connu. | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.314(b)(2) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; (ii) veiller à ce que la séparation requise par le paragraphe ¤ 164.504(f)(2)(iii) soit appuyée par des mesures de sécurité appropriées ; (iii) veiller à ce que tout agent, ou sous-traitant, à qui ces informations sont fournies s'engage à mettre en œuvre des mesures de sécurité appropriées pour protéger les informations ; et (iv) signaler au plan de santé collectif tout incident de sécurité connu. | Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données. | |
164.314(b)(2) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; (ii) veiller à ce que la séparation requise par le paragraphe ¤ 164.504(f)(2)(iii) soit appuyée par des mesures de sécurité appropriées ; (iii) veiller à ce que tout agent, ou sous-traitant, à qui ces informations sont fournies s'engage à mettre en œuvre des mesures de sécurité appropriées pour protéger les informations ; et (iv) signaler au plan de santé collectif tout incident de sécurité connu. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos dans les instances Amazon RDS, activez le chiffrement au repos pour protéger ces données. | |
164.314(b)(2) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; (ii) veiller à ce que la séparation requise par le paragraphe ¤ 164.504(f)(2)(iii) soit appuyée par des mesures de sécurité appropriées ; (iii) veiller à ce que tout agent, ou sous-traitant, à qui ces informations sont fournies s'engage à mettre en œuvre des mesures de sécurité appropriées pour protéger les informations ; et (iv) signaler au plan de santé collectif tout incident de sécurité connu. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
164.314(b)(2) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; (ii) veiller à ce que la séparation requise par le paragraphe ¤ 164.504(f)(2)(iii) soit appuyée par des mesures de sécurité appropriées ; (iii) veiller à ce que tout agent, ou sous-traitant, à qui ces informations sont fournies s'engage à mettre en œuvre des mesures de sécurité appropriées pour protéger les informations ; et (iv) signaler au plan de santé collectif tout incident de sécurité connu. | Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.314(b)(2) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; (ii) veiller à ce que la séparation requise par le paragraphe ¤ 164.504(f)(2)(iii) soit appuyée par des mesures de sécurité appropriées ; (iii) veiller à ce que tout agent, ou sous-traitant, à qui ces informations sont fournies s'engage à mettre en œuvre des mesures de sécurité appropriées pour protéger les informations ; et (iv) signaler au plan de santé collectif tout incident de sécurité connu. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
164.314(b)(2) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; (ii) veiller à ce que la séparation requise par le paragraphe ¤ 164.504(f)(2)(iii) soit appuyée par des mesures de sécurité appropriées ; (iii) veiller à ce que tout agent, ou sous-traitant, à qui ces informations sont fournies s'engage à mettre en œuvre des mesures de sécurité appropriées pour protéger les informations ; et (iv) signaler au plan de santé collectif tout incident de sécurité connu. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
164.314(b)(2) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; (ii) veiller à ce que la séparation requise par le paragraphe ¤ 164.504(f)(2)(iii) soit appuyée par des mesures de sécurité appropriées ; (iii) veiller à ce que tout agent, ou sous-traitant, à qui ces informations sont fournies s'engage à mettre en œuvre des mesures de sécurité appropriées pour protéger les informations ; et (iv) signaler au plan de santé collectif tout incident de sécurité connu. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données. | |
164.314(b)(2) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; (ii) veiller à ce que la séparation requise par le paragraphe ¤ 164.504(f)(2)(iii) soit appuyée par des mesures de sécurité appropriées ; (iii) veiller à ce que tout agent, ou sous-traitant, à qui ces informations sont fournies s'engage à mettre en œuvre des mesures de sécurité appropriées pour protéger les informations ; et (iv) signaler au plan de santé collectif tout incident de sécurité connu. | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.314(b)(2) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; (ii) veiller à ce que la séparation requise par le paragraphe ¤ 164.504(f)(2)(iii) soit appuyée par des mesures de sécurité appropriées ; (iii) veiller à ce que tout agent, ou sous-traitant, à qui ces informations sont fournies s'engage à mettre en œuvre des mesures de sécurité appropriées pour protéger les informations ; et (iv) signaler au plan de santé collectif tout incident de sécurité connu. | Assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans un compartiment Amazon S3, activez le chiffrement au repos pour protéger ces données. | |
164.314(b)(2) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; (ii) veiller à ce que la séparation requise par le paragraphe ¤ 164.504(f)(2)(iii) soit appuyée par des mesures de sécurité appropriées ; (iii) veiller à ce que tout agent, ou sous-traitant, à qui ces informations sont fournies s'engage à mettre en œuvre des mesures de sécurité appropriées pour protéger les informations ; et (iv) signaler au plan de santé collectif tout incident de sécurité connu. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker terminal. Étant donné que les données sensibles peuvent exister au repos sur le SageMaker terminal, activez le chiffrement au repos pour protéger ces données. | |
164.314(b)(2) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; (ii) veiller à ce que la séparation requise par le paragraphe ¤ 164.504(f)(2)(iii) soit appuyée par des mesures de sécurité appropriées ; (iii) veiller à ce que tout agent, ou sous-traitant, à qui ces informations sont fournies s'engage à mettre en œuvre des mesures de sécurité appropriées pour protéger les informations ; et (iv) signaler au plan de santé collectif tout incident de sécurité connu. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker ordinateur portable. Étant donné que des données sensibles peuvent exister au repos dans le SageMaker bloc-notes, activez le chiffrement au repos pour protéger ces données. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | L'activation de l'accès en lecture seule aux conteneurs Amazon Elastic Container Service (ECS) permet de respecter le principe du moindre privilège. Cette option peut réduire les vecteurs d'attaque, car le système de fichiers de l'instance de conteneur ne peut être modifié que s'il dispose d'autorisations explicites de lecture et d'écriture. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Cette règle vérifie si les listes de contrôle d'accès (ACL) sont utilisées pour contrôler l'accès aux compartiments Amazon S3. Les ACL sont des mécanismes de contrôle d'accès existants pour les compartiments Amazon S3 antérieurs à AWS Identity and Access Management (IAM). Au lieu d'utiliser des listes ACL, il est recommandé d'utiliser des politiques IAM ou des politiques de compartiment S3 pour gérer plus facilement l'accès à vos compartiments S3. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Assurez-vous que l'intégrité du réseau est protégée en vous assurant que les certificats X509 sont émis par AWS ACM. Ces certificats doivent être valides et non expirés. Cette règle nécessite une valeur pour daysToExpiration (valeur des meilleures pratiques de sécuritéAWS fondamentales : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Assurez-vous que les étapes de l'API REST Amazon API Gateway sont configurées avec des certificats SSL pour permettre aux systèmes backend d'authentifier que les demandes proviennent d'API Gateway. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Pour protéger les données en transit, assurez-vous que vos écouteurs SSL Elastic Load Balancer classiques utilisent une politique de sécurité prédéfinie. Elastic Load Balancing fournit des configurations de négociation SSL prédéfinies qui sont utilisées pour la négociation SSL lorsqu'une connexion est établie entre un client et votre équilibreur de charge. Les configurations de négociation SSL assurent la compatibilité avec un grand nombre de clients et utilisent des algorithmes de chiffrement à force élevée. Cette règle exige que vous définissiez une politique de sécurité prédéfinie pour vos écouteurs SSL. La politique de sécurité par défaut est la suivante : ELB SecurityPolicy -TLS-1-2-2017-0. La valeur réelle doit refléter les politiques de votre organisation | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le cryptage est activé pour vos AWS CloudTrail pistes. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour votre Amazon Elastic File System (EFS). | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch OpenSearch Service (Service). | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos dans les instances Amazon RDS, activez le chiffrement au repos pour protéger ces données. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans un compartiment Amazon S3, activez le chiffrement au repos pour protéger ces données. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker terminal. Étant donné que les données sensibles peuvent exister au repos sur le SageMaker terminal, activez le chiffrement au repos pour protéger ces données. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker ordinateur portable. Étant donné que des données sensibles peuvent exister au repos dans le SageMaker bloc-notes, activez le chiffrement au repos pour protéger ces données. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Pour protéger les données au repos, assurez-vous que vos rubriques Amazon Simple Notification Service (Amazon SNS) nécessitent un chiffrement à l' AWS aide du Key Management Service AWS (KMS). Comme il peut y avoir des données sensibles au repos dans les messages publiés, activez le chiffrement au repos pour protéger ces données. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Amazon DynamoDB Auto Scaling AWS utilise le service Application Auto Scaling pour ajuster la capacité de débit allouée afin de répondre automatiquement aux modèles de trafic réels. Cela permet à une table ou à un index secondaire global d'augmenter sa capacité de lecture/d'écriture approvisionnée afin de gérer les hausses soudaines de trafic sans limitation. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Activez cette règle pour vérifier que les informations ont été sauvegardées. Il gère également les sauvegardes en s'assurant que la point-in-time restauration est activée dans Amazon DynamoDB. La récupération permet de maintenir des sauvegardes continues de votre table pour les 35 derniers jours. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Activez l'équilibrage de charge entre zones pour vos équilibreurs de charge Elastic Load Balancing (ELB) afin de maintenir une capacité et une disponibilité adéquates. L'équilibrage de charge entre zones réduit la nécessité de maintenir un nombre équivalent d'instances dans chaque zone de disponibilité activée. Cela améliore également la capacité de votre application à gérer la perte d'une ou de plusieurs instances. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Cette règle garantit que la protection contre la suppression est activée pour Elastic Load Balancing. Utilisez cette fonctionnalité pour empêcher la suppression accidentelle ou malveillante de votre équilibreur de charge, ce qui pourrait entraîner une perte de disponibilité pour vos applications. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Assurez-vous que la protection contre la suppression est activée sur les instances Amazon Relational Database Service (Amazon RDS). Utilisez la protection contre la suppression pour empêcher la suppression accidentelle ou malveillante des instances Amazon RDS, ce qui pourrait entraîner une perte de disponibilité pour vos applications. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | La prise en charge multi-AZ dans Amazon Relational Database Service (Amazon RDS) offre une disponibilité et une durabilité améliorées pour les instances de base de données. Lorsque vous mettez en service une instance de base de données multi-AZ, Amazon RDS crée automatiquement une instance de base de données principale et réplique de manière synchrone les données vers une instance de secours dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Assurez-vous que le verrouillage est activé par défaut dans votre compartiment Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments S3, appliquez le verrouillage d'objet au repos pour protéger ces données. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Des tunnels Site-to-Site VPN redondants peuvent être mis en œuvre pour répondre aux exigences de résilience. Deux tunnels sont utilisés pour garantir la connectivité au cas où l'une des connexions Site-to-Site VPN deviendrait indisponible. Pour bénéficier d'une protection contre la perte de connectivité en cas d'indisponibilité de votre passerelle client, vous pouvez configurer une seconde connexion Site-to-Site VPN vers votre réseau Amazon Virtual Private Cloud (Amazon VPC) et votre passerelle privée virtuelle en ajoutant une seconde passerelle client. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Assurez-vous que les tables de routage Amazon EC2 ne disposent pas de routes illimitées vers une passerelle Internet. La suppression ou la limitation de l'accès à Internet pour les charges de travail au sein des réseaux Amazon VPC peut réduire les accès imprévus au sein de votre environnement. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch Service. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Étant donné que des données sensibles peuvent exister et pour protéger les données en transit, assurez-vous que le protocole HTTPS est activé pour les connexions à vos domaines Amazon OpenSearch Service. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
164.314(b)(2)(i) | (2) Spécifications de l'implémentation (obligatoire). Les documents du plan de santé collectif doivent être modifiés pour intégrer des dispositions obligeant le promoteur à — (i) mettre en œuvre des protections administratives, physiques et techniques qui protègent de manière appropriée la confidentialité, l'intégrité et la disponibilité des informations électroniques protégées sur la santé qu'il crée, reçoit, conserve ou transmet au nom du plan de santé collectif ; | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos flux Amazon Kinesis Streams. |
Modèle
Le modèle est disponible sur GitHub : Meilleures pratiques opérationnelles pour la sécurité HIPAA