Bonnes pratiques de fonctionnement pour IRS 1 075 - AWS Config

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bonnes pratiques de fonctionnement pour IRS 1 075

Les packs de conformité fournissent un cadre de conformité à usage général conçu pour vous permettre de créer des contrôles de gouvernance en matière de sécurité, d'exploitation ou d'optimisation des coûts à l'aide de AWS Config règles gérées ou personnalisées et d'actions correctives. AWS Config Les packs de conformité, en tant qu'exemples de modèle, ne sont pas conçus pour garantir pleinement la conformité à une norme de gouvernance ou de conformité spécifique. Il vous incombe de déterminer vous-même si votre utilisation des services est conforme aux exigences légales et réglementaires applicables.

Vous trouverez ci-dessous un exemple de mappage entre l'IRS 1075 et les règles de configuration AWS gérées. Chaque règle Config s'applique à une AWS ressource spécifique et concerne un ou plusieurs contrôles IRS 1075. Un contrôle IRS 1075 peut être associé à plusieurs règles de configuration. Reportez-vous au tableau ci-dessous pour obtenir plus de détails et des conseils relatifs à ces mappages.

ID du contrôle Description du contrôle AWS Règle de configuration Conseils
3.3.1 Cloud computing d. Chiffrement des données en transit Les FTI doivent être chiffrées en transit dans l'environnement Cloud. Tous les mécanismes utilisés pour chiffrer les FTI doivent être certifiés FIPS 140 et fonctionner avec les derniers modules conformes à la norme FIPS 140. Cette exigence doit être incluse dans le SLA.

alb-http-to-https-vérification de redirection

Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
3.3.1 Cloud computing d. Chiffrement des données en transit Les FTI doivent être chiffrées en transit dans l'environnement Cloud. Tous les mécanismes utilisés pour chiffrer les FTI doivent être certifiés FIPS 140 et fonctionner avec les derniers modules conformes à la norme FIPS 140. Cette exigence doit être incluse dans le SLA.

elasticsearch-node-to-node-vérification du chiffrement

Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
3.3.1 Cloud computing d. Chiffrement des données en transit Les FTI doivent être chiffrées en transit dans l'environnement Cloud. Tous les mécanismes utilisés pour chiffrer les FTI doivent être certifiés FIPS 140 et fonctionner avec les derniers modules conformes à la norme FIPS 140. Cette exigence doit être incluse dans le SLA.

elb-tls-https-listeners-uniquement

Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
3.3.1 Cloud computing d. Chiffrement des données en transit Les FTI doivent être chiffrées en transit dans l'environnement Cloud. Tous les mécanismes utilisés pour chiffrer les FTI doivent être certifiés FIPS 140 et fonctionner avec les derniers modules conformes à la norme FIPS 140. Cette exigence doit être incluse dans le SLA.

opensearch-https-required

Étant donné que des données sensibles peuvent exister et pour protéger les données en transit, assurez-vous que le protocole HTTPS est activé pour les connexions à vos domaines Amazon OpenSearch Service.
3.3.1 Cloud computing d. Chiffrement des données en transit Les FTI doivent être chiffrées en transit dans l'environnement Cloud. Tous les mécanismes utilisés pour chiffrer les FTI doivent être certifiés FIPS 140 et fonctionner avec les derniers modules conformes à la norme FIPS 140. Cette exigence doit être incluse dans le SLA.

opensearch-node-to-node-vérification du chiffrement

Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
3.3.1 Cloud computing d. Chiffrement des données en transit Les FTI doivent être chiffrées en transit dans l'environnement Cloud. Tous les mécanismes utilisés pour chiffrer les FTI doivent être certifiés FIPS 140 et fonctionner avec les derniers modules conformes à la norme FIPS 140. Cette exigence doit être incluse dans le SLA.

redshift-require-tls-ssl

Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
3.3.1 Cloud computing d. Chiffrement des données en transit Les FTI doivent être chiffrées en transit dans l'environnement Cloud. Tous les mécanismes utilisés pour chiffrer les FTI doivent être certifiés FIPS 140 et fonctionner avec les derniers modules conformes à la norme FIPS 140. Cette exigence doit être incluse dans le SLA.

s3- bucket-ssl-requests-only

Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
3.3.1 Cloud computing e. Chiffrement des données au repos Chiffrement des données au repos : lorsqu'elles sont au repos dans le Cloud, les FTI doit être chiffrées à l'aide du mécanisme de chiffrement certifié FIPS 140 le plus récent. Cette exigence doit être incluse dans le SLA.

api-gw-cache-enabledet crypté

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour le cache de votre environnement API Gateway. Étant donné que des données sensibles peuvent être capturées pour la méthode API, activez le chiffrement au repos pour protéger ces données.
3.3.1 Cloud computing e. Chiffrement des données au repos Chiffrement des données au repos : lorsqu'elles sont au repos dans le Cloud, les FTI doit être chiffrées à l'aide du mécanisme de chiffrement certifié FIPS 140 le plus récent. Cette exigence doit être incluse dans le SLA.

backup-recovery-point-encrypted

Assurez-vous que le chiffrement est activé pour vos points AWS de restauration Backup. Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données.
3.3.1 Cloud computing e. Chiffrement des données au repos Chiffrement des données au repos : lorsqu'elles sont au repos dans le Cloud, les FTI doit être chiffrées à l'aide du mécanisme de chiffrement certifié FIPS 140 le plus récent. Cette exigence doit être incluse dans le SLA.

cloud-trail-encryption-enabled

Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le cryptage est activé pour vos AWS CloudTrail pistes.
3.3.1 Cloud computing e. Chiffrement des données au repos Chiffrement des données au repos : lorsqu'elles sont au repos dans le Cloud, les FTI doit être chiffrées à l'aide du mécanisme de chiffrement certifié FIPS 140 le plus récent. Cette exigence doit être incluse dans le SLA.

dynamodb-table-encrypted-kms

Assurez-vous que le chiffrement est activé pour vos tables Amazon DynamoDB. Comme il peut y avoir des données sensibles au repos dans ces tables, activez le chiffrement au repos pour protéger ces données. Par défaut, les tables DynamoDB sont chiffrées à l'aide AWS d'une clé principale propre au client (CMK).
3.3.1 Cloud computing e. Chiffrement des données au repos Chiffrement des données au repos : lorsqu'elles sont au repos dans le Cloud, les FTI doit être chiffrées à l'aide du mécanisme de chiffrement certifié FIPS 140 le plus récent. Cette exigence doit être incluse dans le SLA.

ec2- ebs-encryption-by-default

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données.
3.3.1 Cloud computing e. Chiffrement des données au repos Chiffrement des données au repos : lorsqu'elles sont au repos dans le Cloud, les FTI doit être chiffrées à l'aide du mécanisme de chiffrement certifié FIPS 140 le plus récent. Cette exigence doit être incluse dans le SLA.

efs-encrypted-check

Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour votre Amazon Elastic File System (EFS).
3.3.1 Cloud computing e. Chiffrement des données au repos Chiffrement des données au repos : lorsqu'elles sont au repos dans le Cloud, les FTI doit être chiffrées à l'aide du mécanisme de chiffrement certifié FIPS 140 le plus récent. Cette exigence doit être incluse dans le SLA.

elasticsearch-encrypted-at-rest

Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch OpenSearch Service (Service).
3.3.1 Cloud computing e. Chiffrement des données au repos Chiffrement des données au repos : lorsqu'elles sont au repos dans le Cloud, les FTI doit être chiffrées à l'aide du mécanisme de chiffrement certifié FIPS 140 le plus récent. Cette exigence doit être incluse dans le SLA.

encrypted-volumes

Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS).
3.3.1 Cloud computing e. Chiffrement des données au repos Chiffrement des données au repos : lorsqu'elles sont au repos dans le Cloud, les FTI doit être chiffrées à l'aide du mécanisme de chiffrement certifié FIPS 140 le plus récent. Cette exigence doit être incluse dans le SLA.

kinesis-stream-encrypted

Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos flux Amazon Kinesis Streams.
3.3.1 Cloud computing e. Chiffrement des données au repos Chiffrement des données au repos : lorsqu'elles sont au repos dans le Cloud, les FTI doit être chiffrées à l'aide du mécanisme de chiffrement certifié FIPS 140 le plus récent. Cette exigence doit être incluse dans le SLA.

opensearch-encrypted-at-rest

Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch Service.
3.3.1 Cloud computing e. Chiffrement des données au repos Chiffrement des données au repos : lorsqu'elles sont au repos dans le Cloud, les FTI doit être chiffrées à l'aide du mécanisme de chiffrement certifié FIPS 140 le plus récent. Cette exigence doit être incluse dans le SLA.

rds-snapshot-encrypted

Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données.
3.3.1 Cloud computing e. Chiffrement des données au repos Chiffrement des données au repos : lorsqu'elles sont au repos dans le Cloud, les FTI doit être chiffrées à l'aide du mécanisme de chiffrement certifié FIPS 140 le plus récent. Cette exigence doit être incluse dans le SLA.

rds-storage-encrypted

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos dans les instances Amazon RDS, activez le chiffrement au repos pour protéger ces données.
3.3.1 Cloud computing e. Chiffrement des données au repos Chiffrement des données au repos : lorsqu'elles sont au repos dans le Cloud, les FTI doit être chiffrées à l'aide du mécanisme de chiffrement certifié FIPS 140 le plus récent. Cette exigence doit être incluse dans le SLA.

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
3.3.1 Cloud computing e. Chiffrement des données au repos Chiffrement des données au repos : lorsqu'elles sont au repos dans le Cloud, les FTI doit être chiffrées à l'aide du mécanisme de chiffrement certifié FIPS 140 le plus récent. Cette exigence doit être incluse dans le SLA.

redshift-cluster-kms-enabled

Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre cluster Amazon Redshift. Comme il peut y avoir des données sensibles au repos dans les clusters Redshift, activez le chiffrement au repos pour protéger ces données.
3.3.1 Cloud computing e. Chiffrement des données au repos Chiffrement des données au repos : lorsqu'elles sont au repos dans le Cloud, les FTI doit être chiffrées à l'aide du mécanisme de chiffrement certifié FIPS 140 le plus récent. Cette exigence doit être incluse dans le SLA.

compatible avec bucket-server-side-encryption s3

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données.
3.3.1 Cloud computing e. Chiffrement des données au repos Chiffrement des données au repos : lorsqu'elles sont au repos dans le Cloud, les FTI doit être chiffrées à l'aide du mécanisme de chiffrement certifié FIPS 140 le plus récent. Cette exigence doit être incluse dans le SLA.

s3- default-encryption-kms

Assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans un compartiment Amazon S3, activez le chiffrement au repos pour protéger ces données.
3.3.1 Cloud computing e. Chiffrement des données au repos Chiffrement des données au repos : lorsqu'elles sont au repos dans le Cloud, les FTI doit être chiffrées à l'aide du mécanisme de chiffrement certifié FIPS 140 le plus récent. Cette exigence doit être incluse dans le SLA.

sagemaker-endpoint-configuration-kms-configuré par clé

Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker terminal. Étant donné que les données sensibles peuvent exister au repos sur le SageMaker terminal, activez le chiffrement au repos pour protéger ces données.
3.3.1 Cloud computing e. Chiffrement des données au repos Chiffrement des données au repos : lorsqu'elles sont au repos dans le Cloud, les FTI doit être chiffrées à l'aide du mécanisme de chiffrement certifié FIPS 140 le plus récent. Cette exigence doit être incluse dans le SLA.

sagemaker-notebook-instance-kms-configuré par clé

Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker ordinateur portable. Étant donné que des données sensibles peuvent exister au repos dans le SageMaker bloc-notes, activez le chiffrement au repos pour protéger ces données.
3.3.1 Cloud computing e. Chiffrement des données au repos Chiffrement des données au repos : lorsqu'elles sont au repos dans le Cloud, les FTI doit être chiffrées à l'aide du mécanisme de chiffrement certifié FIPS 140 le plus récent. Cette exigence doit être incluse dans le SLA.

secretsmanager-using-cmk

Pour protéger les données au repos, assurez-vous que le chiffrement avec le AWS Key Management Service (AWS KMS) est activé pour les AWS secrets de Secrets Manager. Comme il peut y avoir des données sensibles au repos dans les secrets de Secrets Manager, activez le chiffrement au repos pour protéger ces données.
3.3.1 Cloud computing k. Authentification multifactorielle Si leurs solutions Cloud sont accessibles depuis Internet (c'est-à-dire que des individus peuvent y accéder en dehors du réseau sécurisé de l'agence), les agences doivent mettre en place une authentification multifactorielle appropriée.

iam-user-mfa-enabled

Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs.
3.3.1 Cloud computing k. Authentification multifactorielle Si leurs solutions Cloud sont accessibles depuis Internet (c'est-à-dire que des individus peuvent y accéder en dehors du réseau sécurisé de l'agence), les agences doivent mettre en place une authentification multifactorielle appropriée.

mfa-enabled-for-iam-accès à la console

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles.
3.3.1 Cloud computing k. Authentification multifactorielle Si leurs solutions Cloud sont accessibles depuis Internet (c'est-à-dire que des individus peuvent y accéder en dehors du réseau sécurisé de l'agence), les agences doivent mettre en place une authentification multifactorielle appropriée.

root-account-hardware-mfa-activé

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. La MFA ajoute une couche supplémentaire de protection pour les informations d'identification de connexion En exigeant le MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS
3.3.1 Cloud computing k. Authentification multifactorielle Si leurs solutions Cloud sont accessibles depuis Internet (c'est-à-dire que des individus peuvent y accéder en dehors du réseau sécurisé de l'agence), les agences doivent mettre en place une authentification multifactorielle appropriée.

root-account-mfa-enabled

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. La MFA ajoute une couche supplémentaire de protection pour les informations d'identification de connexion En exigeant le MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS
3.3.1 Cloud computing i. Évaluation des risques : L'agence doit procéder à une évaluation annuelle des contrôles de sécurité et de confidentialité mis en place sur tous les systèmes d'information utilisés pour la réception, le traitement, le stockage, l'accès, la protection et/ou la transmission des FTI. annual-risk-assessment-performed(Vérification du processus) Effectuez une évaluation annuelle des risques au sein de votre organisation. Les évaluations des risques peuvent aider à déterminer la probabilité et l'impact des risques et/ou des vulnérabilités identifiés sur une organisation.
3.3.6 Limite du réseau et infrastructure Les agences doivent adopter des dispositifs de protection des limites dans l'ensemble de leur architecture système, notamment des routeurs, des pare-feu, des commutateurs et des systèmes de détection d'intrusion pour protéger les FTI et les systèmes associés.

guardduty-enabled-centralized

Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
3.3.6 Limite du réseau et infrastructure Les agences doivent adopter des dispositifs de protection des limites dans l'ensemble de leur architecture système, notamment des routeurs, des pare-feu, des commutateurs et des systèmes de détection d'intrusion pour protéger les FTI et les systèmes associés.

guardduty-non-archived-findings

Amazon vous GuardDuty aide à comprendre l'impact d'un incident en classant les résultats par gravité : faible, moyenne et élevée. Vous pouvez utiliser ces classifications pour déterminer les stratégies et les priorités de correction. Cette règle vous permet de définir éventuellement daysLowSev (Config Default : 30), daysMediumSev (Config Default : 7) et daysHighSev (Config Default : 1) pour les résultats non archivés, comme l'exigent les politiques de votre organisation.
3.3.6 Limite du réseau et infrastructure Les agences doivent adopter des dispositifs de protection des limites dans l'ensemble de leur architecture système, notamment des routeurs, des pare-feu, des commutateurs et des systèmes de détection d'intrusion pour protéger les FTI et les systèmes associés.

netfw-policy-rule-group-associé

Une politique de AWS Network Firewall définit la manière dont votre pare-feu surveille et gère le trafic dans un Amazon VPC. Vous configurez des groupes de règles avec ou sans état pour filtrer les paquets et les flux de trafic, et vous définissez la gestion du trafic par défaut.
3.3.6 Limite du réseau et infrastructure Les agences doivent adopter des dispositifs de protection des limites dans l'ensemble de leur architecture système, notamment des routeurs, des pare-feu, des commutateurs et des systèmes de détection d'intrusion pour protéger les FTI et les systèmes associés.

netfw-stateless-rule-group-non vide

Un groupe de règles AWS Network Firewall contient des règles qui définissent la manière dont votre pare-feu traite le trafic dans votre VPC. Un groupe de règles sans état vide, lorsqu'il est présent dans une politique de pare-feu, ne gère pas le trafic.
3.3.6 Limite du réseau et infrastructure Les agences doivent adopter des dispositifs de protection des limites dans l'ensemble de leur architecture système, notamment des routeurs, des pare-feu, des commutateurs et des systèmes de détection d'intrusion pour protéger les FTI et les systèmes associés.

securityhub-enabled

AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS
3.3.6 Limite du réseau et infrastructure Les agences doivent adopter des dispositifs de protection des limites dans l'ensemble de leur architecture système, notamment des routeurs, des pare-feu, des commutateurs et des systèmes de détection d'intrusion pour protéger les FTI et les systèmes associés.

waf-regional-rule-not-vide

Assurez-vous que votre AWS WAF possède une règle qui n'est pas vide. Une règle sans conditions peut entraîner un comportement involontaire.
3.3.6 Limite du réseau et infrastructure Les agences doivent adopter des dispositifs de protection des limites dans l'ensemble de leur architecture système, notamment des routeurs, des pare-feu, des commutateurs et des systèmes de détection d'intrusion pour protéger les FTI et les systèmes associés.

waf-regional-rulegroup-not-vide

Assurez-vous que votre AWS WAF possède un groupe de règles qui n'est pas vide. Un groupe de règles vide peut entraîner un comportement involontaire.
3.3.6 Limite du réseau et infrastructure Les agences doivent adopter des dispositifs de protection des limites dans l'ensemble de leur architecture système, notamment des routeurs, des pare-feu, des commutateurs et des systèmes de détection d'intrusion pour protéger les FTI et les systèmes associés.

waf-regional-webacl-not-vide

Une ACL Web attachée à un AWS WAF peut contenir un ensemble de règles et de groupes de règles pour inspecter et contrôler les requêtes Web. Si une liste ACL web est vide, le trafic web n'est pas détecté ni traité par le WAF.
3.3.6 Limite du réseau et infrastructure Les agences doivent adopter des dispositifs de protection des limites dans l'ensemble de leur architecture système, notamment des routeurs, des pare-feu, des commutateurs et des systèmes de détection d'intrusion pour protéger les FTI et les systèmes associés.

alb-waf-enabled

Assurez-vous que AWS le WAF est activé sur les Elastic Load Balancers (ELB) pour protéger les applications Web. Un WAF aide à protéger vos applications Web ou API contre les menaces Web courantes. Ces attaques Web peuvent affecter la disponibilité, compromettre la sécurité ou consommer des ressources excessives dans votre environnement.
3.3.6 Limite du réseau et infrastructure Les agences doivent adopter des dispositifs de protection des limites dans l'ensemble de leur architecture système, notamment des routeurs, des pare-feu, des commutateurs et des systèmes de détection d'intrusion pour protéger les FTI et les systèmes associés.

api-gw-associated-with-guerre

AWS Le WAF vous permet de configurer un ensemble de règles (appelé liste de contrôle d'accès Web (ACL Web)) qui autorisent, bloquent ou comptent les requêtes Web en fonction de règles et de conditions de sécurité Web personnalisables que vous définissez. Assurez-vous que votre étape Amazon API Gateway est associée à une liste ACL Web WAF pour la protéger contre les attaques malveillantes
AC-2 Gestion des comptes (f) Créez, activez, modifiez, désactivez et supprimez des comptes conformément aux exigences des procédures de gestion des comptes de l'agence ;

iam-user-unused-credentials-vérifier

AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation.
AC-2 Gestion des comptes (f) Créez, activez, modifiez, désactivez et supprimez des comptes conformément aux exigences des procédures de gestion des comptes de l'agence ;

account-part-of-organizations

La gestion centralisée Comptes AWS au sein des AWS Organisations permet de garantir la conformité des comptes. L'absence de gouvernance centralisée des comptes peut entraîner des configurations de comptes incohérentes, ce qui peut exposer des ressources et des données sensibles.
AC-2 Gestion des comptes (f) Créez, activez, modifiez, désactivez et supprimez des comptes conformément aux exigences des procédures de gestion des comptes de l'agence ;

iam-root-access-key-vérifier

L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
AC-2 Gestion des comptes (f) Créez, activez, modifiez, désactivez et supprimez des comptes conformément aux exigences des procédures de gestion des comptes de l'agence ;

iam-user-mfa-enabled

Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs.
AC-2 Gestion des comptes (f) Créez, activez, modifiez, désactivez et supprimez des comptes conformément aux exigences des procédures de gestion des comptes de l'agence ;

iam-user-no-policies-vérifier

Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs.
AC-2 Gestion des comptes (g) Surveillez l'utilisation des comptes

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
AC-2 Gestion des comptes (g) Surveillez l'utilisation des comptes

cloud-trail-cloud-watch-activé pour les journaux

Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
AC-2 Gestion des comptes (g) Surveillez l'utilisation des comptes

cloud-trail-log-file-activé pour la validation

Utilisez la validation des fichiers AWS CloudTrail journaux pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonctionnalité est créée grâce à des algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection.
AC-2 Gestion des comptes (g) Surveillez l'utilisation des comptes

guardduty-enabled-centralized

Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
AC-2 Gestion des comptes (g) Surveillez l'utilisation des comptes

rds-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
AC-2 Gestion des comptes (g) Surveillez l'utilisation des comptes

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
AC-2 Gestion des comptes (g) Surveillez l'utilisation des comptes

s3- bucket-logging-enabled

La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
AC-2 Gestion des comptes (g) Surveillez l'utilisation des comptes

securityhub-enabled

AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS
AC-2 Gestion des comptes (j) Vérifiez que les comptes sont conformes aux exigences de gestion des comptes

root-account-mfa-enabled

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. La MFA ajoute une couche supplémentaire de protection pour les informations d'identification de connexion En exigeant le MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS
AC-2 Gestion des comptes (j) Vérifiez que les comptes sont conformes aux exigences de gestion des comptes

secretsmanager-scheduled-rotation-success-vérifier

Cette règle garantit que AWS les secrets de Secrets Manager ont été correctement transférés conformément au calendrier de rotation. La rotation régulière des secrets peut raccourcir la période pendant laquelle un secret est actif et potentiellement réduire l'impact commercial s'il est compromis.
AC-2 Gestion des comptes (j) Vérifiez que les comptes sont conformes aux exigences de gestion des comptes

secretsmanager-secret-periodic-rotation

Cette règle garantit que AWS la rotation périodique des secrets de Secrets Manager est activée. La rotation régulière des secrets peut raccourcir la période pendant laquelle un secret est actif et potentiellement réduire l'impact commercial s'il est compromis. La valeur par défaut est 90 jours.
AC-2 Gestion des comptes (j) Vérifiez que les comptes sont conformes aux exigences de gestion des comptes

secretsmanager-secret-unused

Si des informations d'identification non utilisées existent dans AWS Secrets Manager, vous devez les désactiver et/ou les supprimer, car cela pourrait violer le principe du moindre privilège. Cette règle vous permet de définir une valeur sur unusedForDays (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation.
AC-2 Gestion des comptes (j) Vérifiez que les comptes sont conformes aux exigences de gestion des comptes

iam-password-policy

Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation.
AC-2 Gestion des comptes (j) Vérifiez que les comptes sont conformes aux exigences de gestion des comptes

access-keys-rotated

Les informations d'identification sont auditées pour les appareils, les utilisateurs et les processus autorisés en veillant à ce que les clés d'accès IAM soient alternées conformément à la politique de l'organisation. La modification régulière des clés d'accès est une bonne pratique de sécurité. Cela permet de raccourcir la période pendant laquelle une clé d'accès est active et de réduire l'impact commercial en cas de compromission des clés. Cette règle nécessite une valeur de rotation des clés d'accès (configuration par défaut : 90). La valeur réelle doit refléter les politiques de votre organisation.
AC-2 Gestion des comptes (j) Vérifiez que les comptes sont conformes aux exigences de gestion des comptes

iam-policy-no-statements-with-full-access

Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
AC-2 Gestion des comptes (j) Vérifiez que les comptes sont conformes aux exigences de gestion des comptes

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
AC-2 Gestion des comptes (j) Vérifiez que les comptes sont conformes aux exigences de gestion des comptes

iam-root-access-key-vérifier

L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
AC-2 Gestion des comptes (j) Vérifiez que les comptes sont conformes aux exigences de gestion des comptes

iam-user-no-policies-vérifier

Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs.
AC-2 Gestion des comptes (j) Vérifiez que les comptes sont conformes aux exigences de gestion des comptes

iam-user-unused-credentials-vérifier

AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation.
(CE-1) Système automatisé de gestion des comptes Assurez la gestion des comptes système à l'aide de mécanismes automatisés.

iam-password-policy

Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation.
(CE-1) Système automatisé de gestion des comptes Assurez la gestion des comptes système à l'aide de mécanismes automatisés.

access-keys-rotated

Les informations d'identification sont auditées pour les appareils, les utilisateurs et les processus autorisés en veillant à ce que les clés d'accès IAM soient alternées conformément à la politique de l'organisation. La modification régulière des clés d'accès est une bonne pratique de sécurité. Cela permet de raccourcir la période pendant laquelle une clé d'accès est active et de réduire l'impact commercial en cas de compromission des clés. Cette règle nécessite une valeur de rotation des clés d'accès (configuration par défaut : 90). La valeur réelle doit refléter les politiques de votre organisation.
(CE-1) Système automatisé de gestion des comptes Assurez la gestion des comptes système à l'aide de mécanismes automatisés.

secretsmanager-scheduled-rotation-success-vérifier

Cette règle garantit que AWS les secrets de Secrets Manager ont été correctement transférés conformément au calendrier de rotation. La rotation régulière des secrets peut raccourcir la période pendant laquelle un secret est actif et potentiellement réduire l'impact commercial s'il est compromis.
(CE-3) : désactivation des comptes Désactivez les comptes sous un délai de 120 jours lorsque les comptes : a. ont expiré ; b. ne sont plus associés à aucun utilisateur ou individu ; c. enfreignent la politique de l'organisation ; ou d. sont inactifs depuis 120 jours (pour les comptes non privilégiés) et 60 jours (pour les comptes privilégiés)

iam-user-unused-credentials-vérifier

AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation.
(CE-12) Surveillance des comptes en cas d'utilisation anormale Surveillez les comptes système pour détecter toute utilisation anormale (telle que définie par l'agence) ; et signalez l'utilisation anormale des comptes système au personnel ou aux employés définis par l'agence.

guardduty-enabled-centralized

Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
AC-6 Moindre privilège Appliquez le principe du moindre privilège, en n'accordant aux utilisateurs (ou aux processus agissant pour leur compte) que les accès autorisés nécessaires à l'accomplissement des tâches qui leur sont confiées.

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms :). ReEncryptFrom Les valeurs réelles doivent refléter les politiques de votre organisation
AC-6 Moindre privilège Appliquez le principe du moindre privilège, en n'accordant aux utilisateurs (ou aux processus agissant pour leur compte) que les accès autorisés nécessaires à l'accomplissement des tâches qui leur sont confiées.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
AC-6 Moindre privilège Appliquez le principe du moindre privilège, en n'accordant aux utilisateurs (ou aux processus agissant pour leur compte) que les accès autorisés nécessaires à l'accomplissement des tâches qui leur sont confiées.

iam-policy-no-statements-with-full-access

Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
AC-6 Moindre privilège Appliquez le principe du moindre privilège, en n'accordant aux utilisateurs (ou aux processus agissant pour leur compte) que les accès autorisés nécessaires à l'accomplissement des tâches qui leur sont confiées.

iam-user-unused-credentials-vérifier

AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation.
AC-6 Moindre privilège Appliquez le principe du moindre privilège, en n'accordant aux utilisateurs (ou aux processus agissant pour leur compte) que les accès autorisés nécessaires à l'accomplissement des tâches qui leur sont confiées.

opensearch-access-control-enabled

Assurez-vous que le contrôle d'accès détaillé est activé sur vos domaines Amazon OpenSearch Service. Le contrôle d'accès précis fournit des mécanismes d'autorisation améliorés pour obtenir un accès moins privilégié aux domaines Amazon Service. OpenSearch Il permet un contrôle d'accès au domaine basé sur les rôles, ainsi que la sécurité au niveau des index, des documents et des champs, la prise en charge des tableaux de bord de OpenSearch service, la mutualisation des tableaux de bord des services et l'authentification HTTP de base pour Service et Kibana. OpenSearch
AC-6 Moindre privilège Appliquez le principe du moindre privilège, en n'accordant aux utilisateurs (ou aux processus agissant pour leur compte) que les accès autorisés nécessaires à l'accomplissement des tâches qui leur sont confiées.

secretsmanager-secret-unused

Si des informations d'identification non utilisées existent dans AWS Secrets Manager, vous devez les désactiver et/ou les supprimer, car cela pourrait violer le principe du moindre privilège. Cette règle vous permet de définir une valeur sur unusedForDays (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation.
AC-6 Moindre privilège Appliquez le principe du moindre privilège, en n'accordant aux utilisateurs (ou aux processus agissant pour leur compte) que les accès autorisés nécessaires à l'accomplissement des tâches qui leur sont confiées.

codebuild-project-environment-privileged-vérifier

Pour faciliter la mise en œuvre du principe du moindre privilège, assurez-vous que le mode privilégié n'est pas activé dans votre environnement de CodeBuild projet Amazon. Ce paramètre doit être désactivé pour empêcher tout accès imprévu aux API Docker ainsi qu'au matériel sous-jacent du conteneur.
AC-6 Moindre privilège Appliquez le principe du moindre privilège, en n'accordant aux utilisateurs (ou aux processus agissant pour leur compte) que les accès autorisés nécessaires à l'accomplissement des tâches qui leur sont confiées.

ec2- instance-profile-attached

Les profils d'instance EC2 transmettent un rôle IAM à une instance EC2. L'association d'un profil d'instance à vos instances peut faciliter la gestion du moindre privilège et des autorisations.
AC-6 Moindre privilège Appliquez le principe du moindre privilège, en n'accordant aux utilisateurs (ou aux processus agissant pour leur compte) que les accès autorisés nécessaires à l'accomplissement des tâches qui leur sont confiées.

ecs-containers-nonprivileged

Pour faciliter la mise en œuvre du principe du moindre privilège, les définitions de tâches Amazon Elastic Container Service (Amazon ECS) ne doivent pas comporter de privilèges élevés. Quand ce paramètre a la valeur true, le conteneur dispose de droits élevés sur l'instance de conteneur hôte (similaire à l'utilisateur root).
AC-6 Moindre privilège Appliquez le principe du moindre privilège, en n'accordant aux utilisateurs (ou aux processus agissant pour leur compte) que les accès autorisés nécessaires à l'accomplissement des tâches qui leur sont confiées.

ecs-containers-readonly-access

L'activation de l'accès en lecture seule aux conteneurs Amazon Elastic Container Service (ECS) permet de respecter le principe du moindre privilège. Cette option peut réduire les vecteurs d'attaque, car le système de fichiers de l'instance de conteneur ne peut être modifié que s'il dispose d'autorisations explicites de lecture et d'écriture.
AC-6 Moindre privilège Appliquez le principe du moindre privilège, en n'accordant aux utilisateurs (ou aux processus agissant pour leur compte) que les accès autorisés nécessaires à l'accomplissement des tâches qui leur sont confiées.

ecs-task-definition-nonroot-utilisateur

Pour faciliter la mise en œuvre du principe du moindre privilège, assurez-vous qu'un utilisateur non root dispose d'un accès à vos définitions de tâches Amazon Elastic Container Service (Amazon ECS).
AC-6 Moindre privilège Appliquez le principe du moindre privilège, en n'accordant aux utilisateurs (ou aux processus agissant pour leur compte) que les accès autorisés nécessaires à l'accomplissement des tâches qui leur sont confiées.

efs-access-point-enforce-identité de l'utilisateur

Pour faciliter la mise en œuvre du principe du moindre privilège, assurez-vous que l'application des utilisateurs est activée pour votre Amazon Elastic File System (Amazon EFS). Lorsque cette option est activée, Amazon EFS remplace les ID utilisateur et de groupe du client NFS par l'identité configurée sur le point d'accès pour toutes les opérations du système de fichiers et n'accorde l'accès qu'à cette identité d'utilisateur appliquée.
AC-6 Moindre privilège Appliquez le principe du moindre privilège, en n'accordant aux utilisateurs (ou aux processus agissant pour leur compte) que les accès autorisés nécessaires à l'accomplissement des tâches qui leur sont confiées.

emr-kerberos-enabled

Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal.
AC-6 Moindre privilège Appliquez le principe du moindre privilège, en n'accordant aux utilisateurs (ou aux processus agissant pour leur compte) que les accès autorisés nécessaires à l'accomplissement des tâches qui leur sont confiées.

iam-user-no-policies-vérifier

Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs.
AC-17 : accès à distance Établissez et documentez les restrictions d'utilisation, les exigences de configuration/connexion et les directives d'implémentation pour chaque type d'accès à distance autorisé ; et autorisez individuellement chaque type d'accès à distance au système avant d'autoriser de telles connexions.

iam-password-policy

Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation.
AC-17 : accès à distance Établissez et documentez les restrictions d'utilisation, les exigences de configuration/connexion et les directives d'implémentation pour chaque type d'accès à distance autorisé ; et autorisez individuellement chaque type d'accès à distance au système avant d'autoriser de telles connexions.

iam-user-mfa-enabled

Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs.
AC-17 : accès à distance Établissez et documentez les restrictions d'utilisation, les exigences de configuration/connexion et les directives d'implémentation pour chaque type d'accès à distance autorisé ; et autorisez individuellement chaque type d'accès à distance au système avant d'autoriser de telles connexions.

mfa-enabled-for-iam-accès à la console

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles.
AC-17 : accès à distance Établissez et documentez les restrictions d'utilisation, les exigences de configuration/connexion et les directives d'implémentation pour chaque type d'accès à distance autorisé ; et autorisez individuellement chaque type d'accès à distance au système avant d'autoriser de telles connexions.

root-account-hardware-mfa-activé

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. La MFA ajoute une couche supplémentaire de protection pour les informations d'identification de connexion En exigeant le MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS
AC-17 : accès à distance Établissez et documentez les restrictions d'utilisation, les exigences de configuration/connexion et les directives d'implémentation pour chaque type d'accès à distance autorisé ; et autorisez individuellement chaque type d'accès à distance au système avant d'autoriser de telles connexions.

root-account-mfa-enabled

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. La MFA ajoute une couche supplémentaire de protection pour les informations d'identification de connexion En exigeant le MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS
AC-17 : accès à distance Établissez et documentez les restrictions d'utilisation, les exigences de configuration/connexion et les directives d'implémentation pour chaque type d'accès à distance autorisé ; et autorisez individuellement chaque type d'accès à distance au système avant d'autoriser de telles connexions.

api-gw-execution-logging-activé

La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs.
AC-17 : accès à distance Établissez et documentez les restrictions d'utilisation, les exigences de configuration/connexion et les directives d'implémentation pour chaque type d'accès à distance autorisé ; et autorisez individuellement chaque type d'accès à distance au système avant d'autoriser de telles connexions.

cloud-trail-cloud-watch-activé pour les journaux

Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
AC-17 : accès à distance Établissez et documentez les restrictions d'utilisation, les exigences de configuration/connexion et les directives d'implémentation pour chaque type d'accès à distance autorisé ; et autorisez individuellement chaque type d'accès à distance au système avant d'autoriser de telles connexions.

elasticsearch-logs-to-cloudwatch

Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
AC-17 : accès à distance Établissez et documentez les restrictions d'utilisation, les exigences de configuration/connexion et les directives d'implémentation pour chaque type d'accès à distance autorisé ; et autorisez individuellement chaque type d'accès à distance au système avant d'autoriser de telles connexions.

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
AC-17 : accès à distance Établissez et documentez les restrictions d'utilisation, les exigences de configuration/connexion et les directives d'implémentation pour chaque type d'accès à distance autorisé ; et autorisez individuellement chaque type d'accès à distance au système avant d'autoriser de telles connexions.

opensearch-logs-to-cloudwatch

Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
AC-17 : accès à distance Établissez et documentez les restrictions d'utilisation, les exigences de configuration/connexion et les directives d'implémentation pour chaque type d'accès à distance autorisé ; et autorisez individuellement chaque type d'accès à distance au système avant d'autoriser de telles connexions.

elb-logging-enabled

L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur.
AC-17 : accès à distance Établissez et documentez les restrictions d'utilisation, les exigences de configuration/connexion et les directives d'implémentation pour chaque type d'accès à distance autorisé ; et autorisez individuellement chaque type d'accès à distance au système avant d'autoriser de telles connexions.

rds-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
AC-17 : accès à distance Établissez et documentez les restrictions d'utilisation, les exigences de configuration/connexion et les directives d'implémentation pour chaque type d'accès à distance autorisé ; et autorisez individuellement chaque type d'accès à distance au système avant d'autoriser de telles connexions.

s3- bucket-logging-enabled

La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
AC-17 : accès à distance Établissez et documentez les restrictions d'utilisation, les exigences de configuration/connexion et les directives d'implémentation pour chaque type d'accès à distance autorisé ; et autorisez individuellement chaque type d'accès à distance au système avant d'autoriser de telles connexions.

securityhub-enabled

AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS
AC-17 : accès à distance Établissez et documentez les restrictions d'utilisation, les exigences de configuration/connexion et les directives d'implémentation pour chaque type d'accès à distance autorisé ; et autorisez individuellement chaque type d'accès à distance au système avant d'autoriser de telles connexions.

vpc-flow-logs-enabled

Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
AC-17 : accès à distance Établissez et documentez les restrictions d'utilisation, les exigences de configuration/connexion et les directives d'implémentation pour chaque type d'accès à distance autorisé ; et autorisez individuellement chaque type d'accès à distance au système avant d'autoriser de telles connexions.

wafv2-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait.
AC-17 : accès à distance Établissez et documentez les restrictions d'utilisation, les exigences de configuration/connexion et les directives d'implémentation pour chaque type d'accès à distance autorisé ; et autorisez individuellement chaque type d'accès à distance au système avant d'autoriser de telles connexions.

cloudwatch-alarm-action-check

Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement.
AC-17 : accès à distance Établissez et documentez les restrictions d'utilisation, les exigences de configuration/connexion et les directives d'implémentation pour chaque type d'accès à distance autorisé ; et autorisez individuellement chaque type d'accès à distance au système avant d'autoriser de telles connexions.

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
AC-17 : accès à distance Établissez et documentez les restrictions d'utilisation, les exigences de configuration/connexion et les directives d'implémentation pour chaque type d'accès à distance autorisé ; et autorisez individuellement chaque type d'accès à distance au système avant d'autoriser de telles connexions.

redshift-enhanced-vpc-routing-activé

Le routage VPC amélioré oblige tout le trafic COPY et UNLOAD entre le cluster et les référentiels de données à passer par votre réseau Amazon VPC. Vous pouvez ensuite utiliser les fonctionnalités VPC, telles que les groupes de sécurité et les listes de contrôle d'accès réseau, pour sécuriser le trafic réseau. Vous pouvez également utiliser les journaux de flux VPC pour surveiller le trafic réseau.
AT-1 : sensibilisation et formation Formez les utilisateurs système (y compris les gestionnaires, les dirigeants et les sous-traitants) en matière de sécurité et de confidentialité security-awareness-program-exists(Vérification du processus) Élaborez et maintenez un programme de sensibilisation à la sécurité pour votre organisation. Les programmes de sensibilisation à la sécurité visent à informer les employés sur la façon de protéger leur organisation contre divers incidents ou atteintes à la sécurité.
AU-2 : événements d'audit Identifiez les types d'événements que le système peut journaliser dans le cadre de la fonction d'audit audit-log-policy-exists(Vérification du processus) Établissez et maintenez une politique de gestion des journaux d'audit qui définit les exigences de votre organisation en matière de journalisation. Cela inclut, sans s'y limiter, l'examen et la conservation des journaux d'audit.
AU-16 : journalisation des audits entre les organisations Utilisez les méthodes définies par l'agence pour coordonner les informations d'audit définies par l'agence dans les organisations externes lorsque les informations d'audit sont transmises au-delà des limites de l'organisation. audit-log-policy-exists(Vérification du processus) Établissez et maintenez une politique de gestion des journaux d'audit qui définit les exigences de votre organisation en matière de journalisation. Cela inclut, sans s'y limiter, l'examen et la conservation des journaux d'audit.
CA-7 : surveillance continue Élaborez une stratégie de surveillance continue au niveau du système et mettez en œuvre une surveillance continue conformément à la stratégie de surveillance continue définie au niveau de l'organisation : identifiez les mesures définies par l'agence à surveiller ; des évaluations continues des contrôles conformément à la stratégie de surveillance continue ; une surveillance continue du système et des mesures définies par l'organisation conformément à la stratégie de surveillance continue ; la corrélation et l'analyse des informations générées par les évaluations et le suivi des contrôles ; des actions en réponse aux résultats de l'analyse de l'évaluation des contrôles et des informations de surveillance ; et le signalement de l'état de sécurité et de confidentialité du système au personnel défini par l'agence au moins une fois par an.

securityhub-enabled

AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS
CP-9 : sauvegarde du système a. Effectuez des sauvegardes hebdomadaires des informations sur les utilisateurs présentes dans la documentation du système, y compris la documentation relative à la sécurité ; b. Effectuez des sauvegardes hebdomadaires des informations sur le système présentes dans le système ; c. Effectuez des sauvegardes hebdomadaires de la documentation du système, y compris la documentation relative à la sécurité et à la confidentialité ; et d. Assurez la confidentialité, l'intégrité et la disponibilité des informations liées à ces sauvegardes.

aurora-resources-protected-by-plan de sauvegarde

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Aurora font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CP-9 : sauvegarde du système a. Effectuez des sauvegardes hebdomadaires des informations sur les utilisateurs présentes dans la documentation du système, y compris la documentation relative à la sécurité ; b. Effectuez des sauvegardes hebdomadaires des informations sur le système présentes dans le système ; c. Effectuez des sauvegardes hebdomadaires de la documentation du système, y compris la documentation relative à la sécurité et à la confidentialité ; et d. Assurez la confidentialité, l'intégrité et la disponibilité des informations liées à ces sauvegardes.

backup-plan-min-frequency-and-min-retention-check

Pour faciliter les processus de sauvegarde des données, assurez-vous que votre plan AWS de sauvegarde est défini pour une fréquence et une rétention minimales. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Cette règle vous permet de définir les paramètres requiredFrequencyValue (Config par défaut : 1), requiredRetentionDays (Config par défaut : 35) et requiredFrequencyUnit (Config par défaut : jours). La valeur réelle doit refléter les exigences de votre organisation.
CP-9 : sauvegarde du système a. Effectuez des sauvegardes hebdomadaires des informations sur les utilisateurs présentes dans la documentation du système, y compris la documentation relative à la sécurité ; b. Effectuez des sauvegardes hebdomadaires des informations sur le système présentes dans le système ; c. Effectuez des sauvegardes hebdomadaires de la documentation du système, y compris la documentation relative à la sécurité et à la confidentialité ; et d. Assurez la confidentialité, l'intégrité et la disponibilité des informations liées à ces sauvegardes.

backup-recovery-point-encrypted

Assurez-vous que le chiffrement est activé pour vos points AWS de restauration Backup. Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données.
CP-9 : sauvegarde du système a. Effectuez des sauvegardes hebdomadaires des informations sur les utilisateurs présentes dans la documentation du système, y compris la documentation relative à la sécurité ; b. Effectuez des sauvegardes hebdomadaires des informations sur le système présentes dans le système ; c. Effectuez des sauvegardes hebdomadaires de la documentation du système, y compris la documentation relative à la sécurité et à la confidentialité ; et d. Assurez la confidentialité, l'intégrité et la disponibilité des informations liées à ces sauvegardes.

backup-recovery-point-manual-suppression désactivée

Assurez-vous que vos points AWS de restauration Backup sont associés à une politique basée sur les ressources qui empêche la suppression de points de restauration. L'utilisation d'une politique basée sur les ressources pour empêcher la suppression des points de récupération peut aider à empêcher les suppressions accidentelles ou intentionnelles.
CP-9 : sauvegarde du système a. Effectuez des sauvegardes hebdomadaires des informations sur les utilisateurs présentes dans la documentation du système, y compris la documentation relative à la sécurité ; b. Effectuez des sauvegardes hebdomadaires des informations sur le système présentes dans le système ; c. Effectuez des sauvegardes hebdomadaires de la documentation du système, y compris la documentation relative à la sécurité et à la confidentialité ; et d. Assurez la confidentialité, l'intégrité et la disponibilité des informations liées à ces sauvegardes.

backup-recovery-point-minimum-contrôle de rétention

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos points de restauration AWS Backup disposent d'une période de conservation minimale définie. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Cette règle vous permet de définir le paramètre requiredRetentionDays (par défaut de configuration : 35). La valeur réelle doit refléter les exigences de votre organisation.
CP-9 : sauvegarde du système a. Effectuez des sauvegardes hebdomadaires des informations sur les utilisateurs présentes dans la documentation du système, y compris la documentation relative à la sécurité ; b. Effectuez des sauvegardes hebdomadaires des informations sur le système présentes dans le système ; c. Effectuez des sauvegardes hebdomadaires de la documentation du système, y compris la documentation relative à la sécurité et à la confidentialité ; et d. Assurez la confidentialité, l'intégrité et la disponibilité des informations liées à ces sauvegardes.

db-instance-backup-enabled

La fonctionnalité de sauvegarde d'Amazon RDS crée des sauvegardes de vos bases de données et de vos journaux de transactions. Amazon RDS crée automatiquement un instantané du volume de stockage de votre instance de base de données, en sauvegardant l'intégralité de cette dernière. Le système vous permet de définir des périodes de conservation spécifiques pour répondre à vos exigences de résilience.
CP-9 : sauvegarde du système a. Effectuez des sauvegardes hebdomadaires des informations sur les utilisateurs présentes dans la documentation du système, y compris la documentation relative à la sécurité ; b. Effectuez des sauvegardes hebdomadaires des informations sur le système présentes dans le système ; c. Effectuez des sauvegardes hebdomadaires de la documentation du système, y compris la documentation relative à la sécurité et à la confidentialité ; et d. Assurez la confidentialité, l'intégrité et la disponibilité des informations liées à ces sauvegardes.

dynamodb-in-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos tables Amazon DynamoDB font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CP-9 : sauvegarde du système a. Effectuez des sauvegardes hebdomadaires des informations sur les utilisateurs présentes dans la documentation du système, y compris la documentation relative à la sécurité ; b. Effectuez des sauvegardes hebdomadaires des informations sur le système présentes dans le système ; c. Effectuez des sauvegardes hebdomadaires de la documentation du système, y compris la documentation relative à la sécurité et à la confidentialité ; et d. Assurez la confidentialité, l'intégrité et la disponibilité des informations liées à ces sauvegardes.

dynamodb-pitr-enabled

Activez cette règle pour vérifier que les informations ont été sauvegardées. Il gère également les sauvegardes en s'assurant que la point-in-time restauration est activée dans Amazon DynamoDB. La récupération permet de maintenir des sauvegardes continues de votre table pour les 35 derniers jours.
CP-9 : sauvegarde du système a. Effectuez des sauvegardes hebdomadaires des informations sur les utilisateurs présentes dans la documentation du système, y compris la documentation relative à la sécurité ; b. Effectuez des sauvegardes hebdomadaires des informations sur le système présentes dans le système ; c. Effectuez des sauvegardes hebdomadaires de la documentation du système, y compris la documentation relative à la sécurité et à la confidentialité ; et d. Assurez la confidentialité, l'intégrité et la disponibilité des informations liées à ces sauvegardes.

ebs-in-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos volumes Amazon Elastic Block Store (Amazon EBS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CP-9 : sauvegarde du système a. Effectuez des sauvegardes hebdomadaires des informations sur les utilisateurs présentes dans la documentation du système, y compris la documentation relative à la sécurité ; b. Effectuez des sauvegardes hebdomadaires des informations sur le système présentes dans le système ; c. Effectuez des sauvegardes hebdomadaires de la documentation du système, y compris la documentation relative à la sécurité et à la confidentialité ; et d. Assurez la confidentialité, l'intégrité et la disponibilité des informations liées à ces sauvegardes.

plan ec2 resources-protected-by-backup

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Elastic Compute Cloud (Amazon EC2) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CP-9 : sauvegarde du système a. Effectuez des sauvegardes hebdomadaires des informations sur les utilisateurs présentes dans la documentation du système, y compris la documentation relative à la sécurité ; b. Effectuez des sauvegardes hebdomadaires des informations sur le système présentes dans le système ; c. Effectuez des sauvegardes hebdomadaires de la documentation du système, y compris la documentation relative à la sécurité et à la confidentialité ; et d. Assurez la confidentialité, l'intégrité et la disponibilité des informations liées à ces sauvegardes.

efs-in-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon Elastic File System (Amazon EFS) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CP-9 : sauvegarde du système a. Effectuez des sauvegardes hebdomadaires des informations sur les utilisateurs présentes dans la documentation du système, y compris la documentation relative à la sécurité ; b. Effectuez des sauvegardes hebdomadaires des informations sur le système présentes dans le système ; c. Effectuez des sauvegardes hebdomadaires de la documentation du système, y compris la documentation relative à la sécurité et à la confidentialité ; et d. Assurez la confidentialité, l'intégrité et la disponibilité des informations liées à ces sauvegardes.

elasticache-redis-cluster-automatic-vérification des sauvegardes

Lorsque les sauvegardes automatiques sont activées, Amazon ElastiCache crée une sauvegarde du cluster quotidiennement. La sauvegarde peut être conservée pendant un nombre de jours défini par votre organisation. Les sauvegardes automatiques peuvent constituer une protection contre la perte de données. En cas de défaillance, vous pouvez créer un nouveau cluster, ce qui restaurera vos données à partir de la sauvegarde la plus récente.
CP-9 : sauvegarde du système a. Effectuez des sauvegardes hebdomadaires des informations sur les utilisateurs présentes dans la documentation du système, y compris la documentation relative à la sécurité ; b. Effectuez des sauvegardes hebdomadaires des informations sur le système présentes dans le système ; c. Effectuez des sauvegardes hebdomadaires de la documentation du système, y compris la documentation relative à la sécurité et à la confidentialité ; et d. Assurez la confidentialité, l'intégrité et la disponibilité des informations liées à ces sauvegardes.

fsx-resources-protected-by-plan de sauvegarde

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon FSx font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CP-9 : sauvegarde du système a. Effectuez des sauvegardes hebdomadaires des informations sur les utilisateurs présentes dans la documentation du système, y compris la documentation relative à la sécurité ; b. Effectuez des sauvegardes hebdomadaires des informations sur le système présentes dans le système ; c. Effectuez des sauvegardes hebdomadaires de la documentation du système, y compris la documentation relative à la sécurité et à la confidentialité ; et d. Assurez la confidentialité, l'intégrité et la disponibilité des informations liées à ces sauvegardes.

rds-in-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos instances Amazon Relational Database Service (Amazon RDS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CP-9 : sauvegarde du système a. Effectuez des sauvegardes hebdomadaires des informations sur les utilisateurs présentes dans la documentation du système, y compris la documentation relative à la sécurité ; b. Effectuez des sauvegardes hebdomadaires des informations sur le système présentes dans le système ; c. Effectuez des sauvegardes hebdomadaires de la documentation du système, y compris la documentation relative à la sécurité et à la confidentialité ; et d. Assurez la confidentialité, l'intégrité et la disponibilité des informations liées à ces sauvegardes.

rds-resources-protected-by-plan de sauvegarde

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Relational Database Service (Amazon RDS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
CP-9 : sauvegarde du système a. Effectuez des sauvegardes hebdomadaires des informations sur les utilisateurs présentes dans la documentation du système, y compris la documentation relative à la sécurité ; b. Effectuez des sauvegardes hebdomadaires des informations sur le système présentes dans le système ; c. Effectuez des sauvegardes hebdomadaires de la documentation du système, y compris la documentation relative à la sécurité et à la confidentialité ; et d. Assurez la confidentialité, l'intégrité et la disponibilité des informations liées à ces sauvegardes.

redshift-backup-enabled

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos clusters Amazon Redshift disposent d'instantanés automatisés. Lorsque les instantanés automatiques sont activés pour un cluster, Redshift prend régulièrement des instantanés de ce cluster. Par défaut, Redshift prend un instantané toutes les huit heures ou tous les 5 Go pour chaque nœud de modification des données, ou selon la première éventualité.
CP-9 : sauvegarde du système a. Effectuez des sauvegardes hebdomadaires des informations sur les utilisateurs présentes dans la documentation du système, y compris la documentation relative à la sécurité ; b. Effectuez des sauvegardes hebdomadaires des informations sur le système présentes dans le système ; c. Effectuez des sauvegardes hebdomadaires de la documentation du système, y compris la documentation relative à la sécurité et à la confidentialité ; et d. Assurez la confidentialité, l'intégrité et la disponibilité des informations liées à ces sauvegardes.

s3- bucket-replication-enabled

La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données.
IA-2 : identification et authentification (utilisateurs de l'organisation) (CE-1) Authentification multifactorielle pour les comptes privilégiés Utilisez l'authentification multifactorielle pour accéder aux comptes privilégiés

root-account-mfa-enabled

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. La MFA ajoute une couche supplémentaire de protection pour les informations d'identification de connexion En exigeant le MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS
IA-2 : identification et authentification (utilisateurs de l'organisation) (CE-1) Authentification multifactorielle pour les comptes privilégiés Utilisez l'authentification multifactorielle pour accéder aux comptes privilégiés

root-account-hardware-mfa-activé

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. La MFA ajoute une couche supplémentaire de protection pour les informations d'identification de connexion En exigeant le MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS
IA-2 : identification et authentification (utilisateurs de l'organisation) (CE-2) Authentification multifactorielle pour les comptes non privilégiés Utilisez l'authentification multifactorielle pour accéder aux comptes non privilégiés.

mfa-enabled-for-iam-accès à la console

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles.
IA-5 : gestion des authentificateurs : (CE-1) Authentification par mot de passe : pour l'authentification par mot de passe Appliquez les règles de composition et de complexité suivantes : 1. Utilisez un mot de passe contenant au moins quatorze (14) caractères. 2. Ajoutez une complexité minimale au mot de passe afin qu'il contienne une combinaison de chiffres, de lettres majuscules, de lettres minuscules et de caractères spéciaux. 3. Imposez au moins un (1) changement de caractère lorsque de nouveaux mots de passe sont choisis pour être utilisés. 4. Stockez et transmettez uniquement des mots de passe protégés par chiffrement. 5. Appliquez des restrictions relatives à la durée de vie des mots de passe : i. Un (1) jour minimum et 90 jours maximum. ii. Les mots de passe des comptes de service expireront au bout de 366 jours (tous inclus).

iam-password-policy

Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation.
PM-5 : inventaire des systèmes Élaborez un inventaire des systèmes de l'organisation et mettez-le constamment à jour.

ec2- -manager instance-managed-by-systems

Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement.
PM-5 : inventaire des systèmes Élaborez un inventaire des systèmes de l'organisation et mettez-le constamment à jour.

ec2- -check managedinstance-association-compliance-status

Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des niveaux de référence pour les niveaux de correctifs du système d'exploitation, les installations de logiciels, les configurations d'applications et d'autres informations relatives à votre environnement.
PM-5 : inventaire des systèmes Élaborez un inventaire des systèmes de l'organisation et mettez-le constamment à jour.

vpc-network-acl-unused-vérifier

Cette règle garantit que les listes de contrôle d'accès au réseau Amazon Virtual Private Cloud (VPC) sont utilisées. La surveillance des listes de contrôle d'accès réseau inutilisées peut faciliter l'inventaire et la gestion précis de votre environnement.
PM-5 : inventaire des systèmes Élaborez un inventaire des systèmes de l'organisation et mettez-le constamment à jour.

ec2- volume-inuse-check

Cette règle garantit que les volumes Amazon Elastic Block Store attachés aux instances Amazon Elastic Compute Cloud (Amazon EC2) sont marqués pour suppression lorsqu'une instance est résiliée. Si un volume Amazon EBS n'est pas supprimé lorsque l'instance à laquelle il est attaché est résiliée, cela peut enfreindre le concept de moindre fonctionnalité.
RA-5 : surveillance et analyse des vulnérabilités Surveillez et analysez les vulnérabilités du système et des applications hébergées tous les trente (30) jours, avant d'intégrer un nouveau système d'information au réseau de l'agence, pour valider des mesures correctives, et en cas de détection et de signalement de nouvelles vulnérabilités susceptibles d'affecter le système vuln-scans-performed(Vérification du processus) Assurez-vous que des analyses de vulnérabilité sont effectuées conformément à vos exigences de conformité. La cadence d'analyse, les outils utilisés et l'utilisation des résultats doivent être définis par votre organisation.
SA-10 : gestion de la configuration pour les développeurs (e.) Assure le suivi des failles de sécurité et leur résolution au sein du système, du composant ou du service et rende compte des résultats à [Attribution : personnel défini par l'organisation].

guardduty-enabled-centralized

Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
SA-10 : gestion de la configuration pour les développeurs (e.) Assure le suivi des failles de sécurité et leur résolution au sein du système, du composant ou du service et rende compte des résultats à [Attribution : personnel défini par l'organisation].

guardduty-non-archived-findings

Amazon vous GuardDuty aide à comprendre l'impact d'un incident en classant les résultats par gravité : faible, moyenne et élevée. Vous pouvez utiliser ces classifications pour déterminer les stratégies et les priorités de correction. Cette règle vous permet de définir éventuellement daysLowSev (Config Default : 30), daysMediumSev (Config Default : 7) et daysHighSev (Config Default : 1) pour les résultats non archivés, comme l'exigent les politiques de votre organisation.
SA-10 : gestion de la configuration pour les développeurs (e.) Assure le suivi des failles de sécurité et leur résolution au sein du système, du composant ou du service et rende compte des résultats à [Attribution : personnel défini par l'organisation].

securityhub-enabled

AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS
SA-10 : gestion de la configuration pour les développeurs (a) (c.) Gérez la configuration lors de la conception, du développement, de l'implémentation ou de l'exploitation d'un système, d'un composant ou d'un service ; implémentez uniquement les modifications approuvées par l'organisation concernant le système, le composant ou le service ;

ec2- -manager instance-managed-by-systems

Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement.
SC-4 : informations présentes dans les ressources système partagées Empêchez le transfert d'informations non autorisé et involontaire à partir de ressources système partagées

ec2- volume-inuse-check

Cette règle garantit que les volumes Amazon Elastic Block Store attachés aux instances Amazon Elastic Compute Cloud (Amazon EC2) sont marqués pour suppression lorsqu'une instance est résiliée. Si un volume Amazon EBS n'est pas supprimé lorsque l'instance à laquelle il est attaché est résiliée, cela peut enfreindre le concept de moindre fonctionnalité.
SC-7 : protection des limites Surveillez et contrôlez les communications aux limites externes du système et aux limites internes clés du système ; implémentez des sous-réseaux pour les composants du système accessibles au public qui sont séparés des réseaux organisationnels internes ; et Connectez-vous à des réseaux ou à des systèmes d'information externes uniquement par l'intermédiaire d'interfaces gérées constituées de dispositifs de protection des limites organisés conformément à une architecture de sécurité organisationnelle.

rds-instance-public-access-vérifier

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
SC-7 : protection des limites Surveillez et contrôlez les communications aux limites externes du système et aux limites internes clés du système ; implémentez des sous-réseaux pour les composants du système accessibles au public qui sont séparés des réseaux organisationnels internes ; et Connectez-vous à des réseaux ou à des systèmes d'information externes uniquement par l'intermédiaire d'interfaces gérées constituées de dispositifs de protection des limites organisés conformément à une architecture de sécurité organisationnelle.

rds-snapshots-public-prohibited

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
SC-7 : protection des limites Surveillez et contrôlez les communications aux limites externes du système et aux limites internes clés du système ; implémentez des sous-réseaux pour les composants du système accessibles au public qui sont séparés des réseaux organisationnels internes ; et Connectez-vous à des réseaux ou à des systèmes d'information externes uniquement par l'intermédiaire d'interfaces gérées constituées de dispositifs de protection des limites organisés conformément à une architecture de sécurité organisationnelle.

redshift-cluster-public-access-vérifier

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
SC-7 : protection des limites Surveillez et contrôlez les communications aux limites externes du système et aux limites internes clés du système ; implémentez des sous-réseaux pour les composants du système accessibles au public qui sont séparés des réseaux organisationnels internes ; et Connectez-vous à des réseaux ou à des systèmes d'information externes uniquement par l'intermédiaire d'interfaces gérées constituées de dispositifs de protection des limites organisés conformément à une architecture de sécurité organisationnelle.

ebs-snapshot-public-restorable-vérifier

Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
SC-7 : protection des limites Surveillez et contrôlez les communications aux limites externes du système et aux limites internes clés du système ; implémentez des sous-réseaux pour les composants du système accessibles au public qui sont séparés des réseaux organisationnels internes ; et Connectez-vous à des réseaux ou à des systèmes d'information externes uniquement par l'intermédiaire d'interfaces gérées constituées de dispositifs de protection des limites organisés conformément à une architecture de sécurité organisationnelle.

ec2- instance-no-public-ip

Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
SC-7 : protection des limites Surveillez et contrôlez les communications aux limites externes du système et aux limites internes clés du système ; implémentez des sous-réseaux pour les composants du système accessibles au public qui sont séparés des réseaux organisationnels internes ; et Connectez-vous à des réseaux ou à des systèmes d'information externes uniquement par l'intermédiaire d'interfaces gérées constituées de dispositifs de protection des limites organisés conformément à une architecture de sécurité organisationnelle.

lambda-function-public-access-interdit

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources.
SC-7 : protection des limites Surveillez et contrôlez les communications aux limites externes du système et aux limites internes clés du système ; implémentez des sous-réseaux pour les composants du système accessibles au public qui sont séparés des réseaux organisationnels internes ; et Connectez-vous à des réseaux ou à des systèmes d'information externes uniquement par l'intermédiaire d'interfaces gérées constituées de dispositifs de protection des limites organisés conformément à une architecture de sécurité organisationnelle.

s3- account-level-public-access -blocs-périodique

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation.
SC-7 : protection des limites Surveillez et contrôlez les communications aux limites externes du système et aux limites internes clés du système ; implémentez des sous-réseaux pour les composants du système accessibles au public qui sont séparés des réseaux organisationnels internes ; et Connectez-vous à des réseaux ou à des systèmes d'information externes uniquement par l'intermédiaire d'interfaces gérées constituées de dispositifs de protection des limites organisés conformément à une architecture de sécurité organisationnelle.

s3- bucket-policy-grantee-check

Gérez l'accès au AWS cloud en activant s3_ bucket_policy_grantee_check. Cette règle vérifie que l'accès accordé par le compartiment Amazon S3 est limité par les principaux, les utilisateurs fédérés, AWS les principaux de service, les adresses IP ou les identifiants Amazon Virtual Private Cloud (Amazon VPC) que vous fournissez.
SC-7 : protection des limites Surveillez et contrôlez les communications aux limites externes du système et aux limites internes clés du système ; implémentez des sous-réseaux pour les composants du système accessibles au public qui sont séparés des réseaux organisationnels internes ; et Connectez-vous à des réseaux ou à des systèmes d'information externes uniquement par l'intermédiaire d'interfaces gérées constituées de dispositifs de protection des limites organisés conformément à une architecture de sécurité organisationnelle.

s3- bucket-public-read-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
SC-7 : protection des limites Surveillez et contrôlez les communications aux limites externes du système et aux limites internes clés du système ; implémentez des sous-réseaux pour les composants du système accessibles au public qui sont séparés des réseaux organisationnels internes ; et Connectez-vous à des réseaux ou à des systèmes d'information externes uniquement par l'intermédiaire d'interfaces gérées constituées de dispositifs de protection des limites organisés conformément à une architecture de sécurité organisationnelle.

s3- bucket-public-write-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
SC-7 : protection des limites Surveillez et contrôlez les communications aux limites externes du système et aux limites internes clés du système ; implémentez des sous-réseaux pour les composants du système accessibles au public qui sont séparés des réseaux organisationnels internes ; et Connectez-vous à des réseaux ou à des systèmes d'information externes uniquement par l'intermédiaire d'interfaces gérées constituées de dispositifs de protection des limites organisés conformément à une architecture de sécurité organisationnelle.

sagemaker-notebook-no-direct-accès à Internet

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles.
SC-7 : protection des limites Surveillez et contrôlez les communications aux limites externes du système et aux limites internes clés du système ; implémentez des sous-réseaux pour les composants du système accessibles au public qui sont séparés des réseaux organisationnels internes ; et Connectez-vous à des réseaux ou à des systèmes d'information externes uniquement par l'intermédiaire d'interfaces gérées constituées de dispositifs de protection des limites organisés conformément à une architecture de sécurité organisationnelle.

vpc-sg-open-only-to-authorized-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes.
SC-7 : protection des limites (CE-9) Limiter le trafic des communications sortantes menaçantes Détectez et bloquez le trafic des communications sortantes qui constituent une menace pour les systèmes externes ; et Contrôlez l'identité des utilisateurs internes associés aux communications refusées.

wafv2-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait.
SC-7 : protection des limites (CE-9) Limiter le trafic des communications sortantes menaçantes Détectez et bloquez le trafic des communications sortantes qui constituent une menace pour les systèmes externes ; et Contrôlez l'identité des utilisateurs internes associés aux communications refusées.

alb-waf-enabled

Assurez-vous que AWS le WAF est activé sur les Elastic Load Balancers (ELB) pour protéger les applications Web. Un WAF aide à protéger vos applications Web ou API contre les menaces Web courantes. Ces attaques Web peuvent affecter la disponibilité, compromettre la sécurité ou consommer des ressources excessives dans votre environnement.
SC-7 : protection des limites (CE-9) Limiter le trafic des communications sortantes menaçantes Détectez et bloquez le trafic des communications sortantes qui constituent une menace pour les systèmes externes ; et Contrôlez l'identité des utilisateurs internes associés aux communications refusées.

api-gw-associated-with-guerre

AWS Le WAF vous permet de configurer un ensemble de règles (appelé liste de contrôle d'accès Web (ACL Web)) qui autorisent, bloquent ou comptent les requêtes Web en fonction de règles et de conditions de sécurité Web personnalisables que vous définissez. Assurez-vous que votre étape Amazon API Gateway est associée à une liste ACL Web WAF pour la protéger contre les attaques malveillantes
SC-7 : protection des limites (telles que définies par IRS) Les agences doivent mettre en œuvre et gérer la protection des limites (généralement à l'aide de pare-feu) au niveau des limites d'approbation. Chaque limite d'approbation doit être surveillée et les communications entre chaque limite doivent être contrôlées.

netfw-policy-rule-group-associé

Une politique de AWS Network Firewall définit la manière dont votre pare-feu surveille et gère le trafic dans un Amazon VPC. Vous configurez des groupes de règles avec ou sans état pour filtrer les paquets et les flux de trafic, et vous définissez la gestion du trafic par défaut.
SC-7 : protection des limites (telles que définies par IRS) Les agences doivent mettre en œuvre et gérer la protection des limites (généralement à l'aide de pare-feu) au niveau des limites d'approbation. Chaque limite d'approbation doit être surveillée et les communications entre chaque limite doivent être contrôlées.

netfw-stateless-rule-group-non vide

Un groupe de règles AWS Network Firewall contient des règles qui définissent la manière dont votre pare-feu traite le trafic dans votre VPC. Un groupe de règles sans état vide, lorsqu'il est présent dans une politique de pare-feu, ne gère pas le trafic.
SC-8 : Intégrité et confidentialité des transmissions (CE-1) Protection par le chiffrement Mettez en œuvre des mécanismes des chiffrement pour empêcher la divulgation non autorisée d'informations et détecter les modifications apportées aux informations pendant la transmission.

alb-http-to-https-vérification de redirection

Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
SC-8 : Intégrité et confidentialité des transmissions (CE-1) Protection par le chiffrement Mettez en œuvre des mécanismes des chiffrement pour empêcher la divulgation non autorisée d'informations et détecter les modifications apportées aux informations pendant la transmission.

elasticsearch-node-to-node-vérification du chiffrement

Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
SC-8 : Intégrité et confidentialité des transmissions (CE-1) Protection par le chiffrement Mettez en œuvre des mécanismes des chiffrement pour empêcher la divulgation non autorisée d'informations et détecter les modifications apportées aux informations pendant la transmission.

elb-tls-https-listeners-uniquement

Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
SC-8 : Intégrité et confidentialité des transmissions (CE-1) Protection par le chiffrement Mettez en œuvre des mécanismes des chiffrement pour empêcher la divulgation non autorisée d'informations et détecter les modifications apportées aux informations pendant la transmission.

opensearch-https-required

Étant donné que des données sensibles peuvent exister et pour protéger les données en transit, assurez-vous que le protocole HTTPS est activé pour les connexions à vos domaines Amazon OpenSearch Service.
SC-8 : Intégrité et confidentialité des transmissions (CE-1) Protection par le chiffrement Mettez en œuvre des mécanismes des chiffrement pour empêcher la divulgation non autorisée d'informations et détecter les modifications apportées aux informations pendant la transmission.

opensearch-node-to-node-vérification du chiffrement

Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
SC-8 : Intégrité et confidentialité des transmissions (CE-1) Protection par le chiffrement Mettez en œuvre des mécanismes des chiffrement pour empêcher la divulgation non autorisée d'informations et détecter les modifications apportées aux informations pendant la transmission.

redshift-require-tls-ssl

Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
SC-8 : Intégrité et confidentialité des transmissions (CE-1) Protection par le chiffrement Mettez en œuvre des mécanismes des chiffrement pour empêcher la divulgation non autorisée d'informations et détecter les modifications apportées aux informations pendant la transmission.

s3- bucket-ssl-requests-only

Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
SC-12 : établissement et gestion des clés de chiffrement L'agence doit établir et gérer des clés de chiffrement si le chiffrement est utilisé dans le système conformément aux exigences de gestion des clés suivantes : NIST SP 800-57, Recommandation pour la gestion des clés, pour la génération, la distribution, le stockage, l'accès et la suppression de clés.

kms-cmk-not-scheduled-pour suppression

Pour protéger les données au repos, assurez-vous que la suppression des clés principales du client (CMK) nécessaires n'est pas planifiée dans le service de gestion des AWS clés (AWS KMS). La suppression de clés étant parfois nécessaire, cette règle peut aider à vérifier toutes les clés dont la suppression est prévue, au cas où la suppression d'une clé aurait été planifiée par inadvertance.
SC-12 : établissement et gestion des clés de chiffrement L'agence doit établir et gérer des clés de chiffrement si le chiffrement est utilisé dans le système conformément aux exigences de gestion des clés suivantes : NIST SP 800-57, Recommandation pour la gestion des clés, pour la génération, la distribution, le stockage, l'accès et la suppression de clés.

cmk-backing-key-rotation-activé

Activez la rotation des clés pour vous assurer que les clés sont pivotées une fois qu'elles ont atteint la fin de leur période de chiffrement.
SC-13 : protection par le chiffrement Implémentez le type de chiffrement adapté parmi les suivants pour chaque chiffrement spécifique : mécanisme de chiffrement certifié FIPS-140 le plus récent, NIST 800-52, directives pour la sélection, la configuration et l'utilisation des implémentations du protocole TLS (Transport Layer Security), chiffrement en transit (chiffrement des charges utiles). L'utilisation du SHA-1 pour les signatures numériques est interdite.

elb-acm-certificate-required

Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes.
SC-13 : protection par le chiffrement Implémentez le type de chiffrement adapté parmi les suivants pour chaque chiffrement spécifique : mécanisme de chiffrement certifié FIPS-140 le plus récent, NIST 800-52, directives pour la sélection, la configuration et l'utilisation des implémentations du protocole TLS (Transport Layer Security), chiffrement en transit (chiffrement des charges utiles). L'utilisation du SHA-1 pour les signatures numériques est interdite.

alb-http-to-https-vérification de redirection

Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
SC-13 : protection par le chiffrement Implémentez le type de chiffrement adapté parmi les suivants pour chaque chiffrement spécifique : mécanisme de chiffrement certifié FIPS-140 le plus récent, NIST 800-52, directives pour la sélection, la configuration et l'utilisation des implémentations du protocole TLS (Transport Layer Security), chiffrement en transit (chiffrement des charges utiles). L'utilisation du SHA-1 pour les signatures numériques est interdite.

api-gw-cache-enabledet crypté

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour le cache de votre environnement API Gateway. Étant donné que des données sensibles peuvent être capturées pour la méthode API, activez le chiffrement au repos pour protéger ces données.
SC-13 : protection par le chiffrement Implémentez le type de chiffrement adapté parmi les suivants pour chaque chiffrement spécifique : mécanisme de chiffrement certifié FIPS-140 le plus récent, NIST 800-52, directives pour la sélection, la configuration et l'utilisation des implémentations du protocole TLS (Transport Layer Security), chiffrement en transit (chiffrement des charges utiles). L'utilisation du SHA-1 pour les signatures numériques est interdite.

elasticsearch-node-to-node-vérification du chiffrement

Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
SC-13 : protection par le chiffrement Implémentez le type de chiffrement adapté parmi les suivants pour chaque chiffrement spécifique : mécanisme de chiffrement certifié FIPS-140 le plus récent, NIST 800-52, directives pour la sélection, la configuration et l'utilisation des implémentations du protocole TLS (Transport Layer Security), chiffrement en transit (chiffrement des charges utiles). L'utilisation du SHA-1 pour les signatures numériques est interdite.

elb-tls-https-listeners-uniquement

Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
SC-13 : protection par le chiffrement Implémentez le type de chiffrement adapté parmi les suivants pour chaque chiffrement spécifique : mécanisme de chiffrement certifié FIPS-140 le plus récent, NIST 800-52, directives pour la sélection, la configuration et l'utilisation des implémentations du protocole TLS (Transport Layer Security), chiffrement en transit (chiffrement des charges utiles). L'utilisation du SHA-1 pour les signatures numériques est interdite.

opensearch-https-required

Étant donné que des données sensibles peuvent exister et pour protéger les données en transit, assurez-vous que le protocole HTTPS est activé pour les connexions à vos domaines Amazon OpenSearch Service.
SC-13 : protection par le chiffrement Implémentez le type de chiffrement adapté parmi les suivants pour chaque chiffrement spécifique : mécanisme de chiffrement certifié FIPS-140 le plus récent, NIST 800-52, directives pour la sélection, la configuration et l'utilisation des implémentations du protocole TLS (Transport Layer Security), chiffrement en transit (chiffrement des charges utiles). L'utilisation du SHA-1 pour les signatures numériques est interdite.

opensearch-node-to-node-vérification du chiffrement

Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
SC-13 : protection par le chiffrement Implémentez le type de chiffrement adapté parmi les suivants pour chaque chiffrement spécifique : mécanisme de chiffrement certifié FIPS-140 le plus récent, NIST 800-52, directives pour la sélection, la configuration et l'utilisation des implémentations du protocole TLS (Transport Layer Security), chiffrement en transit (chiffrement des charges utiles). L'utilisation du SHA-1 pour les signatures numériques est interdite.

backup-recovery-point-encrypted

Assurez-vous que le chiffrement est activé pour vos points AWS de restauration Backup. Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données.
SC-13 : protection par le chiffrement Implémentez le type de chiffrement adapté parmi les suivants pour chaque chiffrement spécifique : mécanisme de chiffrement certifié FIPS-140 le plus récent, NIST 800-52, directives pour la sélection, la configuration et l'utilisation des implémentations du protocole TLS (Transport Layer Security), chiffrement en transit (chiffrement des charges utiles). L'utilisation du SHA-1 pour les signatures numériques est interdite.

dynamodb-table-encrypted-kms

Assurez-vous que le chiffrement est activé pour vos tables Amazon DynamoDB. Comme il peut y avoir des données sensibles au repos dans ces tables, activez le chiffrement au repos pour protéger ces données. Par défaut, les tables DynamoDB sont chiffrées à l'aide AWS d'une clé principale propre au client (CMK).
SC-13 : protection par le chiffrement Implémentez le type de chiffrement adapté parmi les suivants pour chaque chiffrement spécifique : mécanisme de chiffrement certifié FIPS-140 le plus récent, NIST 800-52, directives pour la sélection, la configuration et l'utilisation des implémentations du protocole TLS (Transport Layer Security), chiffrement en transit (chiffrement des charges utiles). L'utilisation du SHA-1 pour les signatures numériques est interdite.

ec2- ebs-encryption-by-default

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données.
SC-13 : protection par le chiffrement Implémentez le type de chiffrement adapté parmi les suivants pour chaque chiffrement spécifique : mécanisme de chiffrement certifié FIPS-140 le plus récent, NIST 800-52, directives pour la sélection, la configuration et l'utilisation des implémentations du protocole TLS (Transport Layer Security), chiffrement en transit (chiffrement des charges utiles). L'utilisation du SHA-1 pour les signatures numériques est interdite.

kinesis-stream-encrypted

Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos flux Amazon Kinesis Streams.
SC-13 : protection par le chiffrement Implémentez le type de chiffrement adapté parmi les suivants pour chaque chiffrement spécifique : mécanisme de chiffrement certifié FIPS-140 le plus récent, NIST 800-52, directives pour la sélection, la configuration et l'utilisation des implémentations du protocole TLS (Transport Layer Security), chiffrement en transit (chiffrement des charges utiles). L'utilisation du SHA-1 pour les signatures numériques est interdite.

opensearch-encrypted-at-rest

Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch Service.
SC-13 : protection par le chiffrement Implémentez le type de chiffrement adapté parmi les suivants pour chaque chiffrement spécifique : mécanisme de chiffrement certifié FIPS-140 le plus récent, NIST 800-52, directives pour la sélection, la configuration et l'utilisation des implémentations du protocole TLS (Transport Layer Security), chiffrement en transit (chiffrement des charges utiles). L'utilisation du SHA-1 pour les signatures numériques est interdite.

rds-snapshot-encrypted

Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données.
SC-13 : protection par le chiffrement Implémentez le type de chiffrement adapté parmi les suivants pour chaque chiffrement spécifique : mécanisme de chiffrement certifié FIPS-140 le plus récent, NIST 800-52, directives pour la sélection, la configuration et l'utilisation des implémentations du protocole TLS (Transport Layer Security), chiffrement en transit (chiffrement des charges utiles). L'utilisation du SHA-1 pour les signatures numériques est interdite.

redshift-cluster-kms-enabled

Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre cluster Amazon Redshift. Comme il peut y avoir des données sensibles au repos dans les clusters Redshift, activez le chiffrement au repos pour protéger ces données.
SC-13 : protection par le chiffrement Implémentez le type de chiffrement adapté parmi les suivants pour chaque chiffrement spécifique : mécanisme de chiffrement certifié FIPS-140 le plus récent, NIST 800-52, directives pour la sélection, la configuration et l'utilisation des implémentations du protocole TLS (Transport Layer Security), chiffrement en transit (chiffrement des charges utiles). L'utilisation du SHA-1 pour les signatures numériques est interdite.

s3- default-encryption-kms

Assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans un compartiment Amazon S3, activez le chiffrement au repos pour protéger ces données.
SC-13 : protection par le chiffrement Implémentez le type de chiffrement adapté parmi les suivants pour chaque chiffrement spécifique : mécanisme de chiffrement certifié FIPS-140 le plus récent, NIST 800-52, directives pour la sélection, la configuration et l'utilisation des implémentations du protocole TLS (Transport Layer Security), chiffrement en transit (chiffrement des charges utiles). L'utilisation du SHA-1 pour les signatures numériques est interdite.

secretsmanager-using-cmk

Pour protéger les données au repos, assurez-vous que le chiffrement avec le AWS Key Management Service (AWS KMS) est activé pour les AWS secrets de Secrets Manager. Comme il peut y avoir des données sensibles au repos dans les secrets de Secrets Manager, activez le chiffrement au repos pour protéger ces données.
SC-13 : protection par le chiffrement Implémentez le type de chiffrement adapté parmi les suivants pour chaque chiffrement spécifique : mécanisme de chiffrement certifié FIPS-140 le plus récent, NIST 800-52, directives pour la sélection, la configuration et l'utilisation des implémentations du protocole TLS (Transport Layer Security), chiffrement en transit (chiffrement des charges utiles). L'utilisation du SHA-1 pour les signatures numériques est interdite.

cloudwatch-log-group-encrypted

Pour protéger les données sensibles au repos, assurez-vous que le chiffrement est activé pour vos Amazon CloudWatch Log Groups.
SC-13 : protection par le chiffrement Implémentez le type de chiffrement adapté parmi les suivants pour chaque chiffrement spécifique : mécanisme de chiffrement certifié FIPS-140 le plus récent, NIST 800-52, directives pour la sélection, la configuration et l'utilisation des implémentations du protocole TLS (Transport Layer Security), chiffrement en transit (chiffrement des charges utiles). L'utilisation du SHA-1 pour les signatures numériques est interdite.

efs-encrypted-check

Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour votre Amazon Elastic File System (EFS).
SC-13 : protection par le chiffrement Implémentez le type de chiffrement adapté parmi les suivants pour chaque chiffrement spécifique : mécanisme de chiffrement certifié FIPS-140 le plus récent, NIST 800-52, directives pour la sélection, la configuration et l'utilisation des implémentations du protocole TLS (Transport Layer Security), chiffrement en transit (chiffrement des charges utiles). L'utilisation du SHA-1 pour les signatures numériques est interdite.

elasticsearch-encrypted-at-rest

Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch OpenSearch Service (Service).
SC-13 : protection par le chiffrement Implémentez le type de chiffrement adapté parmi les suivants pour chaque chiffrement spécifique : mécanisme de chiffrement certifié FIPS-140 le plus récent, NIST 800-52, directives pour la sélection, la configuration et l'utilisation des implémentations du protocole TLS (Transport Layer Security), chiffrement en transit (chiffrement des charges utiles). L'utilisation du SHA-1 pour les signatures numériques est interdite.

encrypted-volumes

Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS).
SC-13 : protection par le chiffrement Implémentez le type de chiffrement adapté parmi les suivants pour chaque chiffrement spécifique : mécanisme de chiffrement certifié FIPS-140 le plus récent, NIST 800-52, directives pour la sélection, la configuration et l'utilisation des implémentations du protocole TLS (Transport Layer Security), chiffrement en transit (chiffrement des charges utiles). L'utilisation du SHA-1 pour les signatures numériques est interdite.

rds-storage-encrypted

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos dans les instances Amazon RDS, activez le chiffrement au repos pour protéger ces données.
SC-13 : protection par le chiffrement Implémentez le type de chiffrement adapté parmi les suivants pour chaque chiffrement spécifique : mécanisme de chiffrement certifié FIPS-140 le plus récent, NIST 800-52, directives pour la sélection, la configuration et l'utilisation des implémentations du protocole TLS (Transport Layer Security), chiffrement en transit (chiffrement des charges utiles). L'utilisation du SHA-1 pour les signatures numériques est interdite.

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
SC-13 : protection par le chiffrement Implémentez le type de chiffrement adapté parmi les suivants pour chaque chiffrement spécifique : mécanisme de chiffrement certifié FIPS-140 le plus récent, NIST 800-52, directives pour la sélection, la configuration et l'utilisation des implémentations du protocole TLS (Transport Layer Security), chiffrement en transit (chiffrement des charges utiles). L'utilisation du SHA-1 pour les signatures numériques est interdite.

redshift-require-tls-ssl

Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
SC-13 : protection par le chiffrement Implémentez le type de chiffrement adapté parmi les suivants pour chaque chiffrement spécifique : mécanisme de chiffrement certifié FIPS-140 le plus récent, NIST 800-52, directives pour la sélection, la configuration et l'utilisation des implémentations du protocole TLS (Transport Layer Security), chiffrement en transit (chiffrement des charges utiles). L'utilisation du SHA-1 pour les signatures numériques est interdite.

compatible avec bucket-server-side-encryption s3

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données.
SC-13 : protection par le chiffrement Implémentez le type de chiffrement adapté parmi les suivants pour chaque chiffrement spécifique : mécanisme de chiffrement certifié FIPS-140 le plus récent, NIST 800-52, directives pour la sélection, la configuration et l'utilisation des implémentations du protocole TLS (Transport Layer Security), chiffrement en transit (chiffrement des charges utiles). L'utilisation du SHA-1 pour les signatures numériques est interdite.

s3- bucket-ssl-requests-only

Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
SC-13 : protection par le chiffrement Implémentez le type de chiffrement adapté parmi les suivants pour chaque chiffrement spécifique : mécanisme de chiffrement certifié FIPS-140 le plus récent, NIST 800-52, directives pour la sélection, la configuration et l'utilisation des implémentations du protocole TLS (Transport Layer Security), chiffrement en transit (chiffrement des charges utiles). L'utilisation du SHA-1 pour les signatures numériques est interdite.

sagemaker-endpoint-configuration-kms-configuré par clé

Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker terminal. Étant donné que les données sensibles peuvent exister au repos sur le SageMaker terminal, activez le chiffrement au repos pour protéger ces données.
SC-13 : protection par le chiffrement Implémentez le type de chiffrement adapté parmi les suivants pour chaque chiffrement spécifique : mécanisme de chiffrement certifié FIPS-140 le plus récent, NIST 800-52, directives pour la sélection, la configuration et l'utilisation des implémentations du protocole TLS (Transport Layer Security), chiffrement en transit (chiffrement des charges utiles). L'utilisation du SHA-1 pour les signatures numériques est interdite.

sagemaker-notebook-instance-kms-configuré par clé

Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker ordinateur portable. Étant donné que des données sensibles peuvent exister au repos dans le SageMaker bloc-notes, activez le chiffrement au repos pour protéger ces données.
SC-13 : protection par le chiffrement Implémentez le type de chiffrement adapté parmi les suivants pour chaque chiffrement spécifique : mécanisme de chiffrement certifié FIPS-140 le plus récent, NIST 800-52, directives pour la sélection, la configuration et l'utilisation des implémentations du protocole TLS (Transport Layer Security), chiffrement en transit (chiffrement des charges utiles). L'utilisation du SHA-1 pour les signatures numériques est interdite.

sns-encrypted-kms

Pour protéger les données au repos, assurez-vous que vos rubriques Amazon Simple Notification Service (Amazon SNS) nécessitent un chiffrement à l' AWS aide du Key Management Service AWS (KMS). Comme il peut y avoir des données sensibles au repos dans les messages publiés, activez le chiffrement au repos pour protéger ces données.
SC-23 : authenticité des sessions Protégez l'authenticité des sessions de communication.

ec2-imdsv2-check

Assurez-vous que la méthode Service des métadonnées d'instance Version 2 (IMDSv2) est activée pour protéger l'accès aux métadonnées d'instance Amazon Elastic Compute Cloud (Amazon EC2) et leur contrôle. La méthode IMDSv2 utilise des contrôles basés sur la session. Avec IMDSv2, des contrôles peuvent être mis en œuvre pour limiter les modifications apportées aux métadonnées des instances.
SC-28 : protection des informations au repos (CE-1) Protection par le chiffrement Appliquez des mécanismes de chiffrement pour empêcher la divulgation et la modification non autorisées des FTI au repos pour les systèmes informatiques des utilisateurs finaux (par exemple, ordinateurs de bureau, ordinateurs portables, appareils mobiles, dispositifs de stockage portables et amovibles) dans un espace de stockage non volatil.

api-gw-cache-enabledet crypté

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour le cache de votre environnement API Gateway. Étant donné que des données sensibles peuvent être capturées pour la méthode API, activez le chiffrement au repos pour protéger ces données.
SC-28 : protection des informations au repos (CE-1) Protection par le chiffrement Appliquez des mécanismes de chiffrement pour empêcher la divulgation et la modification non autorisées des FTI au repos pour les systèmes informatiques des utilisateurs finaux (par exemple, ordinateurs de bureau, ordinateurs portables, appareils mobiles, dispositifs de stockage portables et amovibles) dans un espace de stockage non volatil.

backup-recovery-point-encrypted

Assurez-vous que le chiffrement est activé pour vos points AWS de restauration Backup. Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données.
SC-28 : protection des informations au repos (CE-1) Protection par le chiffrement Appliquez des mécanismes de chiffrement pour empêcher la divulgation et la modification non autorisées des FTI au repos pour les systèmes informatiques des utilisateurs finaux (par exemple, ordinateurs de bureau, ordinateurs portables, appareils mobiles, dispositifs de stockage portables et amovibles) dans un espace de stockage non volatil.

cloud-trail-encryption-enabled

Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le cryptage est activé pour vos AWS CloudTrail pistes.
SC-28 : protection des informations au repos (CE-1) Protection par le chiffrement Appliquez des mécanismes de chiffrement pour empêcher la divulgation et la modification non autorisées des FTI au repos pour les systèmes informatiques des utilisateurs finaux (par exemple, ordinateurs de bureau, ordinateurs portables, appareils mobiles, dispositifs de stockage portables et amovibles) dans un espace de stockage non volatil.

cloudwatch-log-group-encrypted

Pour protéger les données sensibles au repos, assurez-vous que le chiffrement est activé pour vos Amazon CloudWatch Log Groups.
SC-28 : protection des informations au repos (CE-1) Protection par le chiffrement Appliquez des mécanismes de chiffrement pour empêcher la divulgation et la modification non autorisées des FTI au repos pour les systèmes informatiques des utilisateurs finaux (par exemple, ordinateurs de bureau, ordinateurs portables, appareils mobiles, dispositifs de stockage portables et amovibles) dans un espace de stockage non volatil.

sns-encrypted-kms

Pour protéger les données au repos, assurez-vous que vos rubriques Amazon Simple Notification Service (Amazon SNS) nécessitent un chiffrement à l' AWS aide du Key Management Service AWS (KMS). Comme il peut y avoir des données sensibles au repos dans les messages publiés, activez le chiffrement au repos pour protéger ces données.
SC-28 : protection des informations au repos (CE-1) Protection par le chiffrement Appliquez des mécanismes de chiffrement pour empêcher la divulgation et la modification non autorisées des FTI au repos pour les systèmes informatiques des utilisateurs finaux (par exemple, ordinateurs de bureau, ordinateurs portables, appareils mobiles, dispositifs de stockage portables et amovibles) dans un espace de stockage non volatil.

dynamodb-table-encrypted-kms

Assurez-vous que le chiffrement est activé pour vos tables Amazon DynamoDB. Comme il peut y avoir des données sensibles au repos dans ces tables, activez le chiffrement au repos pour protéger ces données. Par défaut, les tables DynamoDB sont chiffrées à l'aide AWS d'une clé principale propre au client (CMK).
SC-28 : protection des informations au repos (CE-1) Protection par le chiffrement Appliquez des mécanismes de chiffrement pour empêcher la divulgation et la modification non autorisées des FTI au repos pour les systèmes informatiques des utilisateurs finaux (par exemple, ordinateurs de bureau, ordinateurs portables, appareils mobiles, dispositifs de stockage portables et amovibles) dans un espace de stockage non volatil.

ec2- ebs-encryption-by-default

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données.
SC-28 : protection des informations au repos (CE-1) Protection par le chiffrement Appliquez des mécanismes de chiffrement pour empêcher la divulgation et la modification non autorisées des FTI au repos pour les systèmes informatiques des utilisateurs finaux (par exemple, ordinateurs de bureau, ordinateurs portables, appareils mobiles, dispositifs de stockage portables et amovibles) dans un espace de stockage non volatil.

efs-encrypted-check

Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour votre Amazon Elastic File System (EFS).
SC-28 : protection des informations au repos (CE-1) Protection par le chiffrement Appliquez des mécanismes de chiffrement pour empêcher la divulgation et la modification non autorisées des FTI au repos pour les systèmes informatiques des utilisateurs finaux (par exemple, ordinateurs de bureau, ordinateurs portables, appareils mobiles, dispositifs de stockage portables et amovibles) dans un espace de stockage non volatil.

elasticsearch-encrypted-at-rest

Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch OpenSearch Service (Service).
SC-28 : protection des informations au repos (CE-1) Protection par le chiffrement Appliquez des mécanismes de chiffrement pour empêcher la divulgation et la modification non autorisées des FTI au repos pour les systèmes informatiques des utilisateurs finaux (par exemple, ordinateurs de bureau, ordinateurs portables, appareils mobiles, dispositifs de stockage portables et amovibles) dans un espace de stockage non volatil.

encrypted-volumes

Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS).
SC-28 : protection des informations au repos (CE-1) Protection par le chiffrement Appliquez des mécanismes de chiffrement pour empêcher la divulgation et la modification non autorisées des FTI au repos pour les systèmes informatiques des utilisateurs finaux (par exemple, ordinateurs de bureau, ordinateurs portables, appareils mobiles, dispositifs de stockage portables et amovibles) dans un espace de stockage non volatil.

kinesis-stream-encrypted

Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos flux Amazon Kinesis Streams.
SC-28 : protection des informations au repos (CE-1) Protection par le chiffrement Appliquez des mécanismes de chiffrement pour empêcher la divulgation et la modification non autorisées des FTI au repos pour les systèmes informatiques des utilisateurs finaux (par exemple, ordinateurs de bureau, ordinateurs portables, appareils mobiles, dispositifs de stockage portables et amovibles) dans un espace de stockage non volatil.

opensearch-encrypted-at-rest

Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch Service.
SC-28 : protection des informations au repos (CE-1) Protection par le chiffrement Appliquez des mécanismes de chiffrement pour empêcher la divulgation et la modification non autorisées des FTI au repos pour les systèmes informatiques des utilisateurs finaux (par exemple, ordinateurs de bureau, ordinateurs portables, appareils mobiles, dispositifs de stockage portables et amovibles) dans un espace de stockage non volatil.

rds-snapshot-encrypted

Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données.
SC-28 : protection des informations au repos (CE-1) Protection par le chiffrement Appliquez des mécanismes de chiffrement pour empêcher la divulgation et la modification non autorisées des FTI au repos pour les systèmes informatiques des utilisateurs finaux (par exemple, ordinateurs de bureau, ordinateurs portables, appareils mobiles, dispositifs de stockage portables et amovibles) dans un espace de stockage non volatil.

rds-storage-encrypted

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos dans les instances Amazon RDS, activez le chiffrement au repos pour protéger ces données.
SC-28 : protection des informations au repos (CE-1) Protection par le chiffrement Appliquez des mécanismes de chiffrement pour empêcher la divulgation et la modification non autorisées des FTI au repos pour les systèmes informatiques des utilisateurs finaux (par exemple, ordinateurs de bureau, ordinateurs portables, appareils mobiles, dispositifs de stockage portables et amovibles) dans un espace de stockage non volatil.

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
SC-28 : protection des informations au repos (CE-1) Protection par le chiffrement Appliquez des mécanismes de chiffrement pour empêcher la divulgation et la modification non autorisées des FTI au repos pour les systèmes informatiques des utilisateurs finaux (par exemple, ordinateurs de bureau, ordinateurs portables, appareils mobiles, dispositifs de stockage portables et amovibles) dans un espace de stockage non volatil.

redshift-cluster-kms-enabled

Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre cluster Amazon Redshift. Comme il peut y avoir des données sensibles au repos dans les clusters Redshift, activez le chiffrement au repos pour protéger ces données.
SC-28 : protection des informations au repos (CE-1) Protection par le chiffrement Appliquez des mécanismes de chiffrement pour empêcher la divulgation et la modification non autorisées des FTI au repos pour les systèmes informatiques des utilisateurs finaux (par exemple, ordinateurs de bureau, ordinateurs portables, appareils mobiles, dispositifs de stockage portables et amovibles) dans un espace de stockage non volatil.

compatible avec bucket-server-side-encryption s3

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données.
SC-28 : protection des informations au repos (CE-1) Protection par le chiffrement Appliquez des mécanismes de chiffrement pour empêcher la divulgation et la modification non autorisées des FTI au repos pour les systèmes informatiques des utilisateurs finaux (par exemple, ordinateurs de bureau, ordinateurs portables, appareils mobiles, dispositifs de stockage portables et amovibles) dans un espace de stockage non volatil.

s3- default-encryption-kms

Assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans un compartiment Amazon S3, activez le chiffrement au repos pour protéger ces données.
SC-28 : protection des informations au repos (CE-1) Protection par le chiffrement Appliquez des mécanismes de chiffrement pour empêcher la divulgation et la modification non autorisées des FTI au repos pour les systèmes informatiques des utilisateurs finaux (par exemple, ordinateurs de bureau, ordinateurs portables, appareils mobiles, dispositifs de stockage portables et amovibles) dans un espace de stockage non volatil.

sagemaker-endpoint-configuration-kms-configuré par clé

Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker terminal. Étant donné que les données sensibles peuvent exister au repos sur le SageMaker terminal, activez le chiffrement au repos pour protéger ces données.
SC-28 : protection des informations au repos (CE-1) Protection par le chiffrement Appliquez des mécanismes de chiffrement pour empêcher la divulgation et la modification non autorisées des FTI au repos pour les systèmes informatiques des utilisateurs finaux (par exemple, ordinateurs de bureau, ordinateurs portables, appareils mobiles, dispositifs de stockage portables et amovibles) dans un espace de stockage non volatil.

sagemaker-notebook-instance-kms-configuré par clé

Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker ordinateur portable. Étant donné que des données sensibles peuvent exister au repos dans le SageMaker bloc-notes, activez le chiffrement au repos pour protéger ces données.
SC-28 : protection des informations au repos (CE-1) Protection par le chiffrement Appliquez des mécanismes de chiffrement pour empêcher la divulgation et la modification non autorisées des FTI au repos pour les systèmes informatiques des utilisateurs finaux (par exemple, ordinateurs de bureau, ordinateurs portables, appareils mobiles, dispositifs de stockage portables et amovibles) dans un espace de stockage non volatil.

secretsmanager-using-cmk

Pour protéger les données au repos, assurez-vous que le chiffrement avec le AWS Key Management Service (AWS KMS) est activé pour les AWS secrets de Secrets Manager. Comme il peut y avoir des données sensibles au repos dans les secrets de Secrets Manager, activez le chiffrement au repos pour protéger ces données.
SI-2 : correction des failles (telles que définies par IRS) L'agence doit veiller à ce que, lors de la mise sous tension et de la connexion quotidiennes au réseau de l'agence, les postes de travail (tels que définis dans la politique, y compris les connexions à distance utilisant les postes de travail GFE) soient vérifiés pour s'assurer que les correctifs les plus récents approuvés par l'agence ont été appliqués et que tous les correctifs absents ou nouveaux sont appliqués si nécessaire ou vérifiés au moins toutes les 24 heures (sauf les week-ends, les jours fériés, etc.)

ec2- -manager instance-managed-by-systems

Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement.
SI-2 : correction des failles (telles que définies par IRS) L'agence doit veiller à ce que, lors de la mise sous tension et de la connexion quotidiennes au réseau de l'agence, les postes de travail (tels que définis dans la politique, y compris les connexions à distance utilisant les postes de travail GFE) soient vérifiés pour s'assurer que les correctifs les plus récents approuvés par l'agence ont été appliqués et que tous les correctifs absents ou nouveaux sont appliqués si nécessaire ou vérifiés au moins toutes les 24 heures (sauf les week-ends, les jours fériés, etc.)

ec2- -check managedinstance-association-compliance-status

Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des niveaux de référence pour les niveaux de correctifs du système d'exploitation, les installations de logiciels, les configurations d'applications et d'autres informations relatives à votre environnement.
SI-2 : correction des failles (telles que définies par IRS) L'agence doit veiller à ce que, lors de la mise sous tension et de la connexion quotidiennes au réseau de l'agence, les postes de travail (tels que définis dans la politique, y compris les connexions à distance utilisant les postes de travail GFE) soient vérifiés pour s'assurer que les correctifs les plus récents approuvés par l'agence ont été appliqués et que tous les correctifs absents ou nouveaux sont appliqués si nécessaire ou vérifiés au moins toutes les 24 heures (sauf les week-ends, les jours fériés, etc.)

ec2- -check managedinstance-patch-compliance-status

Activez cette règle pour faciliter l'identification et la documentation des vulnérabilités d'Amazon Elastic Compute Cloud (Amazon EC2). La règle vérifie si les correctifs d'instance Amazon EC2 sont conformes dans AWS Systems Manager conformément aux politiques et procédures de votre entreprise.
SI-2 : correction des failles (telles que définies par IRS) L'agence doit veiller à ce que, lors de la mise sous tension et de la connexion quotidiennes au réseau de l'agence, les postes de travail (tels que définis dans la politique, y compris les connexions à distance utilisant les postes de travail GFE) soient vérifiés pour s'assurer que les correctifs les plus récents approuvés par l'agence ont été appliqués et que tous les correctifs absents ou nouveaux sont appliqués si nécessaire ou vérifiés au moins toutes les 24 heures (sauf les week-ends, les jours fériés, etc.)

ecs-fargate-latest-platform-version

Les mises à jour de sécurité et les correctifs sont déployés automatiquement pour vos tâches AWS Fargate. Si un problème de sécurité affectant une version de la plateforme AWS Fargate est détecté AWS , corrige la version de la plate-forme. Pour faciliter la gestion des correctifs de vos tâches Amazon Elastic Container Service (ECS) exécutant AWS Fargate, mettez à jour les tâches autonomes de vos services afin d'utiliser la version la plus récente de la plateforme.
SI-2 : correction des failles (telles que définies par IRS) L'agence doit veiller à ce que, lors de la mise sous tension et de la connexion quotidiennes au réseau de l'agence, les postes de travail (tels que définis dans la politique, y compris les connexions à distance utilisant les postes de travail GFE) soient vérifiés pour s'assurer que les correctifs les plus récents approuvés par l'agence ont été appliqués et que tous les correctifs absents ou nouveaux sont appliqués si nécessaire ou vérifiés au moins toutes les 24 heures (sauf les week-ends, les jours fériés, etc.)

elastic-beanstalk-managed-updates-activé

L'activation des mises à jour de plateforme gérées pour un environnement Amazon Elastic Beanstalk garantit l'installation des derniers correctifs, mises à jour et fonctionnalités de la plateforme disponibles pour l'environnement. La sécurisation des systèmes passe par la mise à jour de l'installation des correctifs.
SI-2 : correction des failles (telles que définies par IRS) L'agence doit veiller à ce que, lors de la mise sous tension et de la connexion quotidiennes au réseau de l'agence, les postes de travail (tels que définis dans la politique, y compris les connexions à distance utilisant les postes de travail GFE) soient vérifiés pour s'assurer que les correctifs les plus récents approuvés par l'agence ont été appliqués et que tous les correctifs absents ou nouveaux sont appliqués si nécessaire ou vérifiés au moins toutes les 24 heures (sauf les week-ends, les jours fériés, etc.)

rds-automatic-minor-version-activé pour la mise à niveau

Activez les mises à niveau automatiques des versions mineures sur vos instances Amazon Relational Database Service (RDS) pour vous assurer que les dernières mises à jour mineures du système de gestion de base de données relationnelle (RDBMS) sont installées, lesquelles peuvent inclure des correctifs de sécurité et des correctifs de bogues.
SI-4 : surveillance du système L'organisation : a. Surveille le système d'information pour détecter : 1. Les attaques et les indicateurs d'attaques potentielles conformément à [Attribution : objectifs de surveillance définis par l'organisation] ; et 2. Les connexions locales, du réseau et à distance non autorisées ; b. Identifie l'utilisation non autorisée du système d'information en utilisant [Attribution : techniques et méthodes définies par l'organisation] ; c.Déploie des dispositifs de surveillance : 1. Stratégiquement au sein du système d'information pour recueillir des informations essentielles telles que définies par l'organisation ; et 2. À des endroits ponctuels du système pour suivre des types spécifiques de transactions présentant un intérêt pour l'organisation ; d.Protège les informations obtenues à l'aide d'outils de surveillance des intrusions contre tout accès, et toute modification ou suppression non autorisés ;

guardduty-enabled-centralized

Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
SI-4 : surveillance du système L'organisation : a. Surveille le système d'information pour détecter : 1. Les attaques et les indicateurs d'attaques potentielles conformément à [Attribution : objectifs de surveillance définis par l'organisation] ; et 2. Les connexions locales, du réseau et à distance non autorisées ; b. Identifie l'utilisation non autorisée du système d'information en utilisant [Attribution : techniques et méthodes définies par l'organisation] ; c.Déploie des dispositifs de surveillance : 1. Stratégiquement au sein du système d'information pour recueillir des informations essentielles telles que définies par l'organisation ; et 2. À des endroits ponctuels du système pour suivre des types spécifiques de transactions présentant un intérêt pour l'organisation ; d.Protège les informations obtenues à l'aide d'outils de surveillance des intrusions contre tout accès, et toute modification ou suppression non autorisés ;

securityhub-enabled

AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS
SI-4 : surveillance du système L'organisation : a. Surveille le système d'information pour détecter : 1. Les attaques et les indicateurs d'attaques potentielles conformément à [Attribution : objectifs de surveillance définis par l'organisation] ; et 2. Les connexions locales, du réseau et à distance non autorisées ; b. Identifie l'utilisation non autorisée du système d'information en utilisant [Attribution : techniques et méthodes définies par l'organisation] ; c.Déploie des dispositifs de surveillance : 1. Stratégiquement au sein du système d'information pour recueillir des informations essentielles telles que définies par l'organisation ; et 2. À des endroits ponctuels du système pour suivre des types spécifiques de transactions présentant un intérêt pour l'organisation ; d.Protège les informations obtenues à l'aide d'outils de surveillance des intrusions contre tout accès, et toute modification ou suppression non autorisés ;

cloudwatch-alarm-action-check

Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement.
SI-4 : surveillance du système L'organisation : a. Surveille le système d'information pour détecter : 1. Les attaques et les indicateurs d'attaques potentielles conformément à [Attribution : objectifs de surveillance définis par l'organisation] ; et 2. Les connexions locales, du réseau et à distance non autorisées ; b. Identifie l'utilisation non autorisée du système d'information en utilisant [Attribution : techniques et méthodes définies par l'organisation] ; c.Déploie des dispositifs de surveillance : 1. Stratégiquement au sein du système d'information pour recueillir des informations essentielles telles que définies par l'organisation ; et 2. À des endroits ponctuels du système pour suivre des types spécifiques de transactions présentant un intérêt pour l'organisation ; d.Protège les informations obtenues à l'aide d'outils de surveillance des intrusions contre tout accès, et toute modification ou suppression non autorisés ;

cloud-trail-cloud-watch-activé pour les journaux

Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
SI-4 : surveillance du système L'organisation : a. Surveille le système d'information pour détecter : 1. Les attaques et les indicateurs d'attaques potentielles conformément à [Attribution : objectifs de surveillance définis par l'organisation] ; et 2. Les connexions locales, du réseau et à distance non autorisées ; b. Identifie l'utilisation non autorisée du système d'information en utilisant [Attribution : techniques et méthodes définies par l'organisation] ; c.Déploie des dispositifs de surveillance : 1. Stratégiquement au sein du système d'information pour recueillir des informations essentielles telles que définies par l'organisation ; et 2. À des endroits ponctuels du système pour suivre des types spécifiques de transactions présentant un intérêt pour l'organisation ; d.Protège les informations obtenues à l'aide d'outils de surveillance des intrusions contre tout accès, et toute modification ou suppression non autorisés ;

ec2- instance-detailed-monitoring-enabled

Activez cette règle pour améliorer la surveillance des instances Amazon Elastic Compute Cloud (Amazon EC2) sur la console Amazon EC2, qui affiche des graphiques de surveillance toutes les minutes pour l'instance.
SI-4 : surveillance du système (telle que définie par IRS) Tous les points/portails d'accès liés à Internet doivent collecter et conserver, pendant au moins un an, les informations d'en-tête des trafics entrant et sortant, excepté pour les connexions Internet « anonymes » approuvées, par exemple par le RSSI de l'agence.

elb-logging-enabled

L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur.
SI-4 : surveillance du système (telle que définie par IRS) Tous les points/portails d'accès liés à Internet doivent collecter et conserver, pendant au moins un an, les informations d'en-tête des trafics entrant et sortant, excepté pour les connexions Internet « anonymes » approuvées, par exemple par le RSSI de l'agence.

opensearch-audit-logging-enabled

Assurez-vous que la journalisation des audits est activée sur vos domaines Amazon OpenSearch Service. La journalisation des audits vous permet de suivre l'activité des utilisateurs sur vos OpenSearch domaines, notamment les réussites et les échecs d'authentification, les demandes OpenSearch, les modifications d'index et les requêtes de recherche entrantes.
SI-4 : surveillance du système (telle que définie par IRS) Tous les points/portails d'accès liés à Internet doivent collecter et conserver, pendant au moins un an, les informations d'en-tête des trafics entrant et sortant, excepté pour les connexions Internet « anonymes » approuvées, par exemple par le RSSI de l'agence.

redshift-audit-logging-enabled

Pour recueillir des informations sur les connexions et les activités des utilisateurs sur votre cluster Amazon Redshift, assurez-vous que la journalisation des audits est activée.
SI-4 : surveillance du système (telle que définie par IRS) Tous les points/portails d'accès liés à Internet doivent collecter et conserver, pendant au moins un an, les informations d'en-tête des trafics entrant et sortant, excepté pour les connexions Internet « anonymes » approuvées, par exemple par le RSSI de l'agence.

s3- bucket-logging-enabled

La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
SI-4 : surveillance du système (telle que définie par IRS) Tous les points/portails d'accès liés à Internet doivent collecter et conserver, pendant au moins un an, les informations d'en-tête des trafics entrant et sortant, excepté pour les connexions Internet « anonymes » approuvées, par exemple par le RSSI de l'agence.

wafv2-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait.
SI-4 : surveillance du système (telle que définie par IRS) Tous les points/portails d'accès liés à Internet doivent collecter et conserver, pendant au moins un an, les informations d'en-tête des trafics entrant et sortant, excepté pour les connexions Internet « anonymes » approuvées, par exemple par le RSSI de l'agence.

vpc-flow-logs-enabled

Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
SI-4 : surveillance du système (telle que définie par IRS) Tous les points/portails d'accès liés à Internet doivent collecter et conserver, pendant au moins un an, les informations d'en-tête des trafics entrant et sortant, excepté pour les connexions Internet « anonymes » approuvées, par exemple par le RSSI de l'agence.

api-gw-execution-logging-activé

La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs.
SI-4 : surveillance du système (telle que définie par IRS) Tous les points/portails d'accès liés à Internet doivent collecter et conserver, pendant au moins un an, les informations d'en-tête des trafics entrant et sortant, excepté pour les connexions Internet « anonymes » approuvées, par exemple par le RSSI de l'agence.

cloud-trail-cloud-watch-activé pour les journaux

Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
SI-4 : surveillance du système (telle que définie par IRS) Tous les points/portails d'accès liés à Internet doivent collecter et conserver, pendant au moins un an, les informations d'en-tête des trafics entrant et sortant, excepté pour les connexions Internet « anonymes » approuvées, par exemple par le RSSI de l'agence.

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
SI-4 : surveillance du système (telle que définie par IRS) Tous les points/portails d'accès liés à Internet doivent collecter et conserver, pendant au moins un an, les informations d'en-tête des trafics entrant et sortant, excepté pour les connexions Internet « anonymes » approuvées, par exemple par le RSSI de l'agence.

cloud-trail-log-file-activé pour la validation

Utilisez la validation des fichiers AWS CloudTrail journaux pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonctionnalité est créée grâce à des algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection.
SI-4 : surveillance du système (telle que définie par IRS) Tous les points/portails d'accès liés à Internet doivent collecter et conserver, pendant au moins un an, les informations d'en-tête des trafics entrant et sortant, excepté pour les connexions Internet « anonymes » approuvées, par exemple par le RSSI de l'agence.

cw-loggroup-retention-period-vérifier

Assurez-vous que la durée minimale de conservation des données des journaux d'événements pour vos groupes de journaux est suffisante pour faciliter le dépannage et les enquêtes judiciaires. Le manque de données disponibles dans les journaux d'événements passés complique la reconstitution et l'identification des événements potentiellement malveillants.
SI-7 : intégrité des logiciels, des microprogrammes et des informations Utilisez des outils de vérification de l'intégrité pour détecter les modifications non autorisées apportées aux logiciels, microprogrammes et informations suivants : noyaux du système, pilotes, microprogrammes (par exemple, BIOS, UEFI), logiciels (par exemple, système d'exploitation, applications, intergiciels) et attributs de sécurité.

ec2- -manager instance-managed-by-systems

Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement.
SI-7 : intégrité des logiciels, des microprogrammes et des informations Utilisez des outils de vérification de l'intégrité pour détecter les modifications non autorisées apportées aux logiciels, microprogrammes et informations suivants : noyaux du système, pilotes, microprogrammes (par exemple, BIOS, UEFI), logiciels (par exemple, système d'exploitation, applications, intergiciels) et attributs de sécurité.

ec2- -check managedinstance-patch-compliance-status

Activez cette règle pour faciliter l'identification et la documentation des vulnérabilités d'Amazon Elastic Compute Cloud (Amazon EC2). La règle vérifie si les correctifs d'instance Amazon EC2 sont conformes dans AWS Systems Manager conformément aux politiques et procédures de votre entreprise.
SI-7 : intégrité des logiciels, des microprogrammes et des informations Utilisez des outils de vérification de l'intégrité pour détecter les modifications non autorisées apportées aux logiciels, microprogrammes et informations suivants : noyaux du système, pilotes, microprogrammes (par exemple, BIOS, UEFI), logiciels (par exemple, système d'exploitation, applications, intergiciels) et attributs de sécurité.

cloud-trail-log-file-activé pour la validation

Utilisez la validation des fichiers AWS CloudTrail journaux pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonctionnalité est créée grâce à des algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection.
SI-12 : gestion et conservation des informations Gérez et conservez les informations présentes dans le système d'information et les informations produites par le système conformément aux lois fédérales, aux décrets, aux directives, aux règlements, aux politiques, aux normes, aux consignes et aux exigences opérationnelles applicables.

db-instance-backup-enabled

La fonctionnalité de sauvegarde d'Amazon RDS crée des sauvegardes de vos bases de données et de vos journaux de transactions. Amazon RDS crée automatiquement un instantané du volume de stockage de votre instance de base de données, en sauvegardant l'intégralité de cette dernière. Le système vous permet de définir des périodes de conservation spécifiques pour répondre à vos exigences de résilience.
SI-12 : gestion et conservation des informations Gérez et conservez les informations présentes dans le système d'information et les informations produites par le système conformément aux lois fédérales, aux décrets, aux directives, aux règlements, aux politiques, aux normes, aux consignes et aux exigences opérationnelles applicables.

dynamodb-in-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos tables Amazon DynamoDB font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
SI-12 : gestion et conservation des informations Gérez et conservez les informations présentes dans le système d'information et les informations produites par le système conformément aux lois fédérales, aux décrets, aux directives, aux règlements, aux politiques, aux normes, aux consignes et aux exigences opérationnelles applicables.

dynamodb-pitr-enabled

Activez cette règle pour vérifier que les informations ont été sauvegardées. Il gère également les sauvegardes en s'assurant que la point-in-time restauration est activée dans Amazon DynamoDB. La récupération permet de maintenir des sauvegardes continues de votre table pour les 35 derniers jours.
SI-12 : gestion et conservation des informations Gérez et conservez les informations présentes dans le système d'information et les informations produites par le système conformément aux lois fédérales, aux décrets, aux directives, aux règlements, aux politiques, aux normes, aux consignes et aux exigences opérationnelles applicables.

dynamodb-resources-protected-by-plan de sauvegarde

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon DynamoDB font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
SI-12 : gestion et conservation des informations Gérez et conservez les informations présentes dans le système d'information et les informations produites par le système conformément aux lois fédérales, aux décrets, aux directives, aux règlements, aux politiques, aux normes, aux consignes et aux exigences opérationnelles applicables.

ebs-in-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos volumes Amazon Elastic Block Store (Amazon EBS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
SI-12 : gestion et conservation des informations Gérez et conservez les informations présentes dans le système d'information et les informations produites par le système conformément aux lois fédérales, aux décrets, aux directives, aux règlements, aux politiques, aux normes, aux consignes et aux exigences opérationnelles applicables.

ebs-resources-protected-by-plan de sauvegarde

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Elastic Block Store (Amazon EBS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
SI-12 : gestion et conservation des informations Gérez et conservez les informations présentes dans le système d'information et les informations produites par le système conformément aux lois fédérales, aux décrets, aux directives, aux règlements, aux politiques, aux normes, aux consignes et aux exigences opérationnelles applicables.

plan ec2 resources-protected-by-backup

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Elastic Compute Cloud (Amazon EC2) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
SI-12 : gestion et conservation des informations Gérez et conservez les informations présentes dans le système d'information et les informations produites par le système conformément aux lois fédérales, aux décrets, aux directives, aux règlements, aux politiques, aux normes, aux consignes et aux exigences opérationnelles applicables.

efs-in-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon Elastic File System (Amazon EFS) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
SI-12 : gestion et conservation des informations Gérez et conservez les informations présentes dans le système d'information et les informations produites par le système conformément aux lois fédérales, aux décrets, aux directives, aux règlements, aux politiques, aux normes, aux consignes et aux exigences opérationnelles applicables.

efs-resources-protected-by-plan de sauvegarde

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon Elastic File System (Amazon EFS) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
SI-12 : gestion et conservation des informations Gérez et conservez les informations présentes dans le système d'information et les informations produites par le système conformément aux lois fédérales, aux décrets, aux directives, aux règlements, aux politiques, aux normes, aux consignes et aux exigences opérationnelles applicables.

elasticache-redis-cluster-automatic-vérification des sauvegardes

Lorsque les sauvegardes automatiques sont activées, Amazon ElastiCache crée une sauvegarde du cluster quotidiennement. La sauvegarde peut être conservée pendant un nombre de jours défini par votre organisation. Les sauvegardes automatiques peuvent constituer une protection contre la perte de données. En cas de défaillance, vous pouvez créer un nouveau cluster, ce qui restaurera vos données à partir de la sauvegarde la plus récente.
SI-12 : gestion et conservation des informations Gérez et conservez les informations présentes dans le système d'information et les informations produites par le système conformément aux lois fédérales, aux décrets, aux directives, aux règlements, aux politiques, aux normes, aux consignes et aux exigences opérationnelles applicables.

fsx-resources-protected-by-plan de sauvegarde

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon FSx font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
SI-12 : gestion et conservation des informations Gérez et conservez les informations présentes dans le système d'information et les informations produites par le système conformément aux lois fédérales, aux décrets, aux directives, aux règlements, aux politiques, aux normes, aux consignes et aux exigences opérationnelles applicables.

rds-in-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos instances Amazon Relational Database Service (Amazon RDS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
SI-12 : gestion et conservation des informations Gérez et conservez les informations présentes dans le système d'information et les informations produites par le système conformément aux lois fédérales, aux décrets, aux directives, aux règlements, aux politiques, aux normes, aux consignes et aux exigences opérationnelles applicables.

rds-resources-protected-by-plan de sauvegarde

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Relational Database Service (Amazon RDS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
SI-12 : gestion et conservation des informations Gérez et conservez les informations présentes dans le système d'information et les informations produites par le système conformément aux lois fédérales, aux décrets, aux directives, aux règlements, aux politiques, aux normes, aux consignes et aux exigences opérationnelles applicables.

redshift-backup-enabled

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos clusters Amazon Redshift disposent d'instantanés automatisés. Lorsque les instantanés automatiques sont activés pour un cluster, Redshift prend régulièrement des instantanés de ce cluster. Par défaut, Redshift prend un instantané toutes les huit heures ou tous les 5 Go pour chaque nœud de modification des données, ou selon la première éventualité.
SI-12 : gestion et conservation des informations Gérez et conservez les informations présentes dans le système d'information et les informations produites par le système conformément aux lois fédérales, aux décrets, aux directives, aux règlements, aux politiques, aux normes, aux consignes et aux exigences opérationnelles applicables.

aurora-resources-protected-by-plan de sauvegarde

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Aurora font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
SI-12 : gestion et conservation des informations Gérez et conservez les informations présentes dans le système d'information et les informations produites par le système conformément aux lois fédérales, aux décrets, aux directives, aux règlements, aux politiques, aux normes, aux consignes et aux exigences opérationnelles applicables.

backup-plan-min-frequency-and-min-retention-check

Pour faciliter les processus de sauvegarde des données, assurez-vous que votre plan AWS de sauvegarde est défini pour une fréquence et une rétention minimales. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Cette règle vous permet de définir les paramètres requiredFrequencyValue (Config par défaut : 1), requiredRetentionDays (Config par défaut : 35) et requiredFrequencyUnit (Config par défaut : jours). La valeur réelle doit refléter les exigences de votre organisation.
SI-12 : gestion et conservation des informations Gérez et conservez les informations présentes dans le système d'information et les informations produites par le système conformément aux lois fédérales, aux décrets, aux directives, aux règlements, aux politiques, aux normes, aux consignes et aux exigences opérationnelles applicables.

backup-recovery-point-manual-suppression désactivée

Assurez-vous que vos points AWS de restauration Backup sont associés à une politique basée sur les ressources qui empêche la suppression de points de restauration. L'utilisation d'une politique basée sur les ressources pour empêcher la suppression des points de récupération peut aider à empêcher les suppressions accidentelles ou intentionnelles.
SI-12 : gestion et conservation des informations Gérez et conservez les informations présentes dans le système d'information et les informations produites par le système conformément aux lois fédérales, aux décrets, aux directives, aux règlements, aux politiques, aux normes, aux consignes et aux exigences opérationnelles applicables.

backup-recovery-point-minimum-contrôle de rétention

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos points de restauration AWS Backup disposent d'une période de conservation minimale définie. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Cette règle vous permet de définir le paramètre requiredRetentionDays (par défaut de configuration : 35). La valeur réelle doit refléter les exigences de votre organisation.
SI-12 : gestion et conservation des informations Gérez et conservez les informations présentes dans le système d'information et les informations produites par le système conformément aux lois fédérales, aux décrets, aux directives, aux règlements, aux politiques, aux normes, aux consignes et aux exigences opérationnelles applicables.

s3- lifecycle-policy-check

Assurez-vous que les politiques de cycle de vie d'Amazon S3 sont configurées pour vous aider à définir les actions qu'Amazon S3 doit effectuer au cours de la durée de vie d'un objet (par exemple, transférer les objets vers une autre classe de stockage, les archiver ou les supprimer au bout d'une certaine période).
SI-12 : gestion et conservation des informations Gérez et conservez les informations présentes dans le système d'information et les informations produites par le système conformément aux lois fédérales, aux décrets, aux directives, aux règlements, aux politiques, aux normes, aux consignes et aux exigences opérationnelles applicables.

s3- version-lifecycle-policy-check

Assurez-vous que les politiques de cycle de vie d'Amazon S3 sont configurées pour vous aider à définir les actions qu'Amazon S3 doit effectuer au cours de la durée de vie d'un objet (par exemple, transférer les objets vers une autre classe de stockage, les archiver ou les supprimer au bout d'une certaine période).
SI-12 : gestion et conservation des informations Gérez et conservez les informations présentes dans le système d'information et les informations produites par le système conformément aux lois fédérales, aux décrets, aux directives, aux règlements, aux politiques, aux normes, aux consignes et aux exigences opérationnelles applicables.

s3- bucket-versioning-enabled

La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative.
SI-12 : gestion et conservation des informations Gérez et conservez les informations présentes dans le système d'information et les informations produites par le système conformément aux lois fédérales, aux décrets, aux directives, aux règlements, aux politiques, aux normes, aux consignes et aux exigences opérationnelles applicables.

s3- bucket-default-lock-enabled

Assurez-vous que le verrouillage est activé par défaut dans votre compartiment Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments S3, appliquez le verrouillage d'objet au repos pour protéger ces données.

Modèle

Le modèle est disponible sur GitHub : Operational Best Practices for IRS 1075.