Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Bonnes pratiques de fonctionnement pour NIST 800 171
Les packs de conformité fournissent un cadre de conformité à usage général conçu pour vous permettre de créer des contrôles de gouvernance en matière de sécurité, d'exploitation ou d'optimisation des coûts à l'aide de AWS Config règles gérées ou personnalisées et d'actions correctives. AWS Config Les packs de conformité, en tant qu'exemples de modèle, ne sont pas conçus pour garantir pleinement la conformité à une norme de gouvernance ou de conformité spécifique. Il vous incombe de déterminer vous-même si votre utilisation des services est conforme aux exigences légales et réglementaires applicables.
Vous trouverez ci-dessous un exemple de mappage entre le NIST 800-171 et les règles de AWS configuration gérées. Chaque règle de configuration s'applique à une AWS ressource spécifique et concerne un ou plusieurs contrôles NIST 800-171. Un contrôle NIST 800-171 peut être associé à plusieurs règles de configuration. Reportez-vous au tableau ci-dessous pour obtenir plus de détails et des conseils relatifs à ces mappages.
| ID du contrôle | Description du contrôle | AWS Règle de configuration | Conseils |
|---|---|---|---|
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | Les profils d'instance EC2 transmettent un rôle IAM à une instance EC2. L'association d'un profil d'instance à vos instances peut faciliter la gestion du moindre privilège et des autorisations. | |
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges. | |
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès. | |
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | Le routage VPC amélioré oblige tout le trafic COPY et UNLOAD entre le cluster et les référentiels de données à passer par votre réseau Amazon VPC. Vous pouvez ensuite utiliser les fonctionnalités VPC, telles que les groupes de sécurité et les listes de contrôle d'accès réseau, pour sécuriser le trafic réseau. Vous pouvez également utiliser les journaux de flux VPC pour surveiller le trafic réseau. | |
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal. | |
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège. | |
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité. | |
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs. | |
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les passerelles Internet ne sont connectées qu'à Amazon Virtual Private Cloud (Amazon VPC) autorisé. Les passerelles Internet permettent un accès bidirectionnel à Internet depuis et vers le réseau Amazon VPC, ce qui peut potentiellement entraîner un accès non autorisé aux ressources Amazon VPC. | |
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC. | |
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles. | |
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | Assurez-vous que le contrôle d'accès détaillé est activé sur vos domaines Amazon OpenSearch Service. Le contrôle d'accès précis fournit des mécanismes d'autorisation améliorés pour obtenir un accès moins privilégié aux domaines Amazon Service. OpenSearch Il permet un contrôle d'accès au domaine basé sur les rôles, ainsi que la sécurité au niveau des index, des documents et des champs, la prise en charge des tableaux de bord de OpenSearch service, la mutualisation des tableaux de bord des services et l'authentification HTTP de base pour Service et Kibana. OpenSearch | |
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. La MFA ajoute une couche supplémentaire de protection pour les informations d'identification de connexion En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. La MFA ajoute une couche supplémentaire de protection pour les informations d'identification de connexion En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | Gérez l'accès au AWS cloud en activant s3_ bucket_policy_grantee_check. Cette règle vérifie que l'accès accordé par le compartiment Amazon S3 est limité par les principaux, les utilisateurs fédérés, AWS les principaux de service, les adresses IP ou les identifiants Amazon Virtual Private Cloud (Amazon VPC) que vous fournissez. | |
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale. | |
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
| 3.1.1 | Limitez l'accès au système aux utilisateurs autorisés, aux processus agissant au nom des utilisateurs autorisés et aux appareils (y compris les autres systèmes). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs. | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Les profils d'instance EC2 transmettent un rôle IAM à une instance EC2. L'association d'un profil d'instance à vos instances peut faciliter la gestion du moindre privilège et des autorisations. | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges. | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès. | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Assurez-vous que les tables de routage Amazon EC2 ne disposent pas de routes illimitées vers une passerelle Internet. La suppression ou la limitation de l'accès à Internet pour les charges de travail au sein des réseaux Amazon VPC peut réduire les accès imprévus au sein de votre environnement. | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal. | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège. | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité. | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs. | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les passerelles Internet ne sont connectées qu'à Amazon Virtual Private Cloud (Amazon VPC) autorisé. Les passerelles Internet permettent un accès bidirectionnel à Internet depuis et vers le réseau Amazon VPC, ce qui peut potentiellement entraîner un accès non autorisé aux ressources Amazon VPC. | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC. | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles. | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Assurez-vous que le contrôle d'accès détaillé est activé sur vos domaines Amazon OpenSearch Service. Le contrôle d'accès précis fournit des mécanismes d'autorisation améliorés pour obtenir un accès moins privilégié aux domaines Amazon Service. OpenSearch Il permet un contrôle d'accès au domaine basé sur les rôles, ainsi que la sécurité au niveau des index, des documents et des champs, la prise en charge des tableaux de bord de OpenSearch service, la mutualisation des tableaux de bord des services et l'authentification HTTP de base pour Service et Kibana. OpenSearch | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. La MFA ajoute une couche supplémentaire de protection pour les informations d'identification de connexion En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. La MFA ajoute une couche supplémentaire de protection pour les informations d'identification de connexion En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès au AWS cloud en activant s3_ bucket_policy_grantee_check. Cette règle vérifie que l'accès accordé par le compartiment Amazon S3 est limité par les principaux, les utilisateurs fédérés, AWS les principaux de service, les adresses IP ou les identifiants Amazon Virtual Private Cloud (Amazon VPC) que vous fournissez. | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale. | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
| 3.1.2 | Limitez l'accès au système aux types de transactions et de fonctions que les utilisateurs autorisés ont le droit d'exécuter. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
| 3.1.3 | Contrôlez le flux de CUI conformément aux autorisations approuvées. | Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès. | |
| 3.1.3 | Contrôlez le flux de CUI conformément aux autorisations approuvées. | Assurez-vous que les tables de routage Amazon EC2 ne disposent pas de routes illimitées vers une passerelle Internet. La suppression ou la limitation de l'accès à Internet pour les charges de travail au sein des réseaux Amazon VPC peut réduire les accès imprévus au sein de votre environnement. | |
| 3.1.3 | Contrôlez le flux de CUI conformément aux autorisations approuvées. | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
| 3.1.3 | Contrôlez le flux de CUI conformément aux autorisations approuvées. | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| 3.1.3 | Contrôlez le flux de CUI conformément aux autorisations approuvées. | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| 3.1.3 | Contrôlez le flux de CUI conformément aux autorisations approuvées. | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| 3.1.3 | Contrôlez le flux de CUI conformément aux autorisations approuvées. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
| 3.1.3 | Contrôlez le flux de CUI conformément aux autorisations approuvées. | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| 3.1.3 | Contrôlez le flux de CUI conformément aux autorisations approuvées. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
| 3.1.3 | Contrôlez le flux de CUI conformément aux autorisations approuvées. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
| 3.1.3 | Contrôlez le flux de CUI conformément aux autorisations approuvées. | Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC. | |
| 3.1.3 | Contrôlez le flux de CUI conformément aux autorisations approuvées. | Assurez-vous que le contrôle d'accès détaillé est activé sur vos domaines Amazon OpenSearch Service. Le contrôle d'accès précis fournit des mécanismes d'autorisation améliorés pour obtenir un accès moins privilégié aux domaines Amazon Service. OpenSearch Il permet un contrôle d'accès au domaine basé sur les rôles, ainsi que la sécurité au niveau des index, des documents et des champs, la prise en charge des tableaux de bord de OpenSearch service, la mutualisation des tableaux de bord des services et l'authentification HTTP de base pour Service et Kibana. OpenSearch | |
| 3.1.3 | Contrôlez le flux de CUI conformément aux autorisations approuvées. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
| 3.1.3 | Contrôlez le flux de CUI conformément aux autorisations approuvées. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| 3.1.3 | Contrôlez le flux de CUI conformément aux autorisations approuvées. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| 3.1.3 | Contrôlez le flux de CUI conformément aux autorisations approuvées. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| 3.1.3 | Contrôlez le flux de CUI conformément aux autorisations approuvées. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.1.3 | Contrôlez le flux de CUI conformément aux autorisations approuvées. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.1.3 | Contrôlez le flux de CUI conformément aux autorisations approuvées. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
| 3.1.3 | Contrôlez le flux de CUI conformément aux autorisations approuvées. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| 3.1.3 | Contrôlez le flux de CUI conformément aux autorisations approuvées. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| 3.1.3 | Contrôlez le flux de CUI conformément aux autorisations approuvées. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
| 3.1.3 | Contrôlez le flux de CUI conformément aux autorisations approuvées. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
| 3.1.3 | Contrôlez le flux de CUI conformément aux autorisations approuvées. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
| 3.1.4 | Séparez les tâches des individus afin de réduire le risque d'activités malveillantes sans collusion. | Les profils d'instance EC2 transmettent un rôle IAM à une instance EC2. L'association d'un profil d'instance à vos instances peut faciliter la gestion du moindre privilège et des autorisations. | |
| 3.1.4 | Séparez les tâches des individus afin de réduire le risque d'activités malveillantes sans collusion. | Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges. | |
| 3.1.4 | Séparez les tâches des individus afin de réduire le risque d'activités malveillantes sans collusion. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
| 3.1.4 | Séparez les tâches des individus afin de réduire le risque d'activités malveillantes sans collusion. | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| 3.1.4 | Séparez les tâches des individus afin de réduire le risque d'activités malveillantes sans collusion. | Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal. | |
| 3.1.4 | Séparez les tâches des individus afin de réduire le risque d'activités malveillantes sans collusion. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège. | |
| 3.1.4 | Séparez les tâches des individus afin de réduire le risque d'activités malveillantes sans collusion. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| 3.1.4 | Séparez les tâches des individus afin de réduire le risque d'activités malveillantes sans collusion. | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité. | |
| 3.1.4 | Séparez les tâches des individus afin de réduire le risque d'activités malveillantes sans collusion. | AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| 3.1.4 | Séparez les tâches des individus afin de réduire le risque d'activités malveillantes sans collusion. | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
| 3.1.4 | Séparez les tâches des individus afin de réduire le risque d'activités malveillantes sans collusion. | AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| 3.1.4 | Séparez les tâches des individus afin de réduire le risque d'activités malveillantes sans collusion. | Assurez-vous que le contrôle d'accès détaillé est activé sur vos domaines Amazon OpenSearch Service. Le contrôle d'accès précis fournit des mécanismes d'autorisation améliorés pour obtenir un accès moins privilégié aux domaines Amazon Service. OpenSearch Il permet un contrôle d'accès au domaine basé sur les rôles, ainsi que la sécurité au niveau des index, des documents et des champs, la prise en charge des tableaux de bord de OpenSearch service, la mutualisation des tableaux de bord des services et l'authentification HTTP de base pour Service et Kibana. OpenSearch | |
| 3.1.4 | Séparez les tâches des individus afin de réduire le risque d'activités malveillantes sans collusion. | Gérez l'accès au AWS cloud en activant s3_ bucket_policy_grantee_check. Cette règle vérifie que l'accès accordé par le compartiment Amazon S3 est limité par les principaux, les utilisateurs fédérés, AWS les principaux de service, les adresses IP ou les identifiants Amazon Virtual Private Cloud (Amazon VPC) que vous fournissez. | |
| 3.1.5 | Utilisez le principe du moindre privilège, y compris pour des fonctions de sécurité spécifiques et des comptes privilégiés. | Les profils d'instance EC2 transmettent un rôle IAM à une instance EC2. L'association d'un profil d'instance à vos instances peut faciliter la gestion du moindre privilège et des autorisations. | |
| 3.1.5 | Utilisez le principe du moindre privilège, y compris pour des fonctions de sécurité spécifiques et des comptes privilégiés. | Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges. | |
| 3.1.5 | Utilisez le principe du moindre privilège, y compris pour des fonctions de sécurité spécifiques et des comptes privilégiés. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
| 3.1.5 | Utilisez le principe du moindre privilège, y compris pour des fonctions de sécurité spécifiques et des comptes privilégiés. | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| 3.1.5 | Utilisez le principe du moindre privilège, y compris pour des fonctions de sécurité spécifiques et des comptes privilégiés. | Pour faciliter la mise en œuvre du principe du moindre privilège, les définitions de tâches Amazon Elastic Container Service (Amazon ECS) ne doivent pas comporter de privilèges élevés. Quand ce paramètre a la valeur true, le conteneur dispose de droits élevés sur l'instance de conteneur hôte (similaire à l'utilisateur root). | |
| 3.1.5 | Utilisez le principe du moindre privilège, y compris pour des fonctions de sécurité spécifiques et des comptes privilégiés. | L'activation de l'accès en lecture seule aux conteneurs Amazon Elastic Container Service (ECS) permet de respecter le principe du moindre privilège. Cette option peut réduire les vecteurs d'attaque, car le système de fichiers de l'instance de conteneur ne peut être modifié que s'il dispose d'autorisations explicites de lecture et d'écriture. | |
| 3.1.5 | Utilisez le principe du moindre privilège, y compris pour des fonctions de sécurité spécifiques et des comptes privilégiés. | Pour faciliter la mise en œuvre du principe du moindre privilège, assurez-vous qu'un utilisateur non root dispose d'un accès à vos définitions de tâches Amazon Elastic Container Service (Amazon ECS). | |
| 3.1.5 | Utilisez le principe du moindre privilège, y compris pour des fonctions de sécurité spécifiques et des comptes privilégiés. | Pour faciliter la mise en œuvre du principe du moindre privilège, assurez-vous que l'application des utilisateurs est activée pour votre Amazon Elastic File System (Amazon EFS). Lorsque cette option est activée, Amazon EFS remplace les ID utilisateur et de groupe du client NFS par l'identité configurée sur le point d'accès pour toutes les opérations du système de fichiers et n'accorde l'accès qu'à cette identité d'utilisateur appliquée. | |
| 3.1.5 | Utilisez le principe du moindre privilège, y compris pour des fonctions de sécurité spécifiques et des comptes privilégiés. | Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal. | |
| 3.1.5 | Utilisez le principe du moindre privilège, y compris pour des fonctions de sécurité spécifiques et des comptes privilégiés. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège. | |
| 3.1.5 | Utilisez le principe du moindre privilège, y compris pour des fonctions de sécurité spécifiques et des comptes privilégiés. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| 3.1.5 | Utilisez le principe du moindre privilège, y compris pour des fonctions de sécurité spécifiques et des comptes privilégiés. | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité. | |
| 3.1.5 | Utilisez le principe du moindre privilège, y compris pour des fonctions de sécurité spécifiques et des comptes privilégiés. | AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| 3.1.5 | Utilisez le principe du moindre privilège, y compris pour des fonctions de sécurité spécifiques et des comptes privilégiés. | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
| 3.1.5 | Utilisez le principe du moindre privilège, y compris pour des fonctions de sécurité spécifiques et des comptes privilégiés. | AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| 3.1.5 | Utilisez le principe du moindre privilège, y compris pour des fonctions de sécurité spécifiques et des comptes privilégiés. | Assurez-vous que le contrôle d'accès détaillé est activé sur vos domaines Amazon OpenSearch Service. Le contrôle d'accès précis fournit des mécanismes d'autorisation améliorés pour obtenir un accès moins privilégié aux domaines Amazon Service. OpenSearch Il permet un contrôle d'accès au domaine basé sur les rôles, ainsi que la sécurité au niveau des index, des documents et des champs, la prise en charge des tableaux de bord de OpenSearch service, la mutualisation des tableaux de bord des services et l'authentification HTTP de base pour Service et Kibana. OpenSearch | |
| 3.1.5 | Utilisez le principe du moindre privilège, y compris pour des fonctions de sécurité spécifiques et des comptes privilégiés. | Gérez l'accès au AWS cloud en activant s3_ bucket_policy_grantee_check. Cette règle vérifie que l'accès accordé par le compartiment Amazon S3 est limité par les principaux, les utilisateurs fédérés, AWS les principaux de service, les adresses IP ou les identifiants Amazon Virtual Private Cloud (Amazon VPC) que vous fournissez. | |
| 3.1.6 | Utilisez des comptes ou des rôles non privilégiés pour accéder à des fonctions non liées à la sécurité. | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité. | |
| 3.1.7 | Empêchez les utilisateurs non privilégiés d'exécuter des fonctions privilégiées et vérifiez l'exécution de ces fonctions. | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| 3.1.7 | Empêchez les utilisateurs non privilégiés d'exécuter des fonctions privilégiées et vérifiez l'exécution de ces fonctions. | Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal. | |
| 3.1.7 | Empêchez les utilisateurs non privilégiés d'exécuter des fonctions privilégiées et vérifiez l'exécution de ces fonctions. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège. | |
| 3.1.7 | Empêchez les utilisateurs non privilégiés d'exécuter des fonctions privilégiées et vérifiez l'exécution de ces fonctions. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| 3.1.7 | Empêchez les utilisateurs non privilégiés d'exécuter des fonctions privilégiées et vérifiez l'exécution de ces fonctions. | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité. | |
| 3.1.7 | Empêchez les utilisateurs non privilégiés d'exécuter des fonctions privilégiées et vérifiez l'exécution de ces fonctions. | AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| 3.1.7 | Empêchez les utilisateurs non privilégiés d'exécuter des fonctions privilégiées et vérifiez l'exécution de ces fonctions. | Gérez l'accès au AWS cloud en activant s3_ bucket_policy_grantee_check. Cette règle vérifie que l'accès accordé par le compartiment Amazon S3 est limité par les principaux, les utilisateurs fédérés, AWS les principaux de service, les adresses IP ou les identifiants Amazon Virtual Private Cloud (Amazon VPC) que vous fournissez. | |
| 3.1.12 | Surveillez et contrôlez les sessions d'accès à distance. | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| 3.1.12 | Surveillez et contrôlez les sessions d'accès à distance. | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
| 3.1.12 | Surveillez et contrôlez les sessions d'accès à distance. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
| 3.1.12 | Surveillez et contrôlez les sessions d'accès à distance. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| 3.1.12 | Surveillez et contrôlez les sessions d'accès à distance. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait. | |
| 3.1.12 | Surveillez et contrôlez les sessions d'accès à distance. | La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs. | |
| 3.1.12 | Surveillez et contrôlez les sessions d'accès à distance. | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
| 3.1.12 | Surveillez et contrôlez les sessions d'accès à distance. | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les Compte AWS informations qui ont accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
| 3.1.12 | Surveillez et contrôlez les sessions d'accès à distance. | L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. | |
| 3.1.12 | Surveillez et contrôlez les sessions d'accès à distance. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| 3.1.12 | Surveillez et contrôlez les sessions d'accès à distance. | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| 3.1.12 | Surveillez et contrôlez les sessions d'accès à distance. | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
| 3.1.12 | Surveillez et contrôlez les sessions d'accès à distance. | Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole. | |
| 3,113 | Utilisez des mécanismes de chiffrement pour protéger la confidentialité des sessions d'accès à distance. | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes. | |
| 3,113 | Utilisez des mécanismes de chiffrement pour protéger la confidentialité des sessions d'accès à distance. | Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3,113 | Utilisez des mécanismes de chiffrement pour protéger la confidentialité des sessions d'accès à distance. | Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3,113 | Utilisez des mécanismes de chiffrement pour protéger la confidentialité des sessions d'accès à distance. | Assurez-vous que les étapes de l'API REST Amazon API Gateway sont configurées avec des certificats SSL pour permettre aux systèmes backend d'authentifier que les demandes proviennent d'API Gateway. | |
| 3,113 | Utilisez des mécanismes de chiffrement pour protéger la confidentialité des sessions d'accès à distance. | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes. | |
| 3,113 | Utilisez des mécanismes de chiffrement pour protéger la confidentialité des sessions d'accès à distance. | Étant donné que des données sensibles peuvent exister et pour protéger les données en transit, assurez-vous que le protocole HTTPS est activé pour les connexions à vos domaines Amazon OpenSearch Service. | |
| 3,113 | Utilisez des mécanismes de chiffrement pour protéger la confidentialité des sessions d'accès à distance. | Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3,113 | Utilisez des mécanismes de chiffrement pour protéger la confidentialité des sessions d'accès à distance. | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3,114 | Acheminez l'accès à distance depuis des points de contrôle d'accès gérés. | Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs. | |
| 3,114 | Acheminez l'accès à distance depuis des points de contrôle d'accès gérés. | Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès. | |
| 3,114 | Acheminez l'accès à distance depuis des points de contrôle d'accès gérés. | Assurez-vous que les tables de routage Amazon EC2 ne disposent pas de routes illimitées vers une passerelle Internet. La suppression ou la limitation de l'accès à Internet pour les charges de travail au sein des réseaux Amazon VPC peut réduire les accès imprévus au sein de votre environnement. | |
| 3,114 | Acheminez l'accès à distance depuis des points de contrôle d'accès gérés. | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
| 3,114 | Acheminez l'accès à distance depuis des points de contrôle d'accès gérés. | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| 3,114 | Acheminez l'accès à distance depuis des points de contrôle d'accès gérés. | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| 3,114 | Acheminez l'accès à distance depuis des points de contrôle d'accès gérés. | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| 3,114 | Acheminez l'accès à distance depuis des points de contrôle d'accès gérés. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
| 3,114 | Acheminez l'accès à distance depuis des points de contrôle d'accès gérés. | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| 3,114 | Acheminez l'accès à distance depuis des points de contrôle d'accès gérés. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
| 3,114 | Acheminez l'accès à distance depuis des points de contrôle d'accès gérés. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les passerelles Internet ne sont connectées qu'à Amazon Virtual Private Cloud (Amazon VPC) autorisé. Les passerelles Internet permettent un accès bidirectionnel à Internet depuis et vers le réseau Amazon VPC, ce qui peut potentiellement entraîner un accès non autorisé aux ressources Amazon VPC. | |
| 3,114 | Acheminez l'accès à distance depuis des points de contrôle d'accès gérés. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
| 3,114 | Acheminez l'accès à distance depuis des points de contrôle d'accès gérés. | Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC. | |
| 3,114 | Acheminez l'accès à distance depuis des points de contrôle d'accès gérés. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles. | |
| 3,114 | Acheminez l'accès à distance depuis des points de contrôle d'accès gérés. | Assurez-vous que le contrôle d'accès détaillé est activé sur vos domaines Amazon OpenSearch Service. Le contrôle d'accès précis fournit des mécanismes d'autorisation améliorés pour obtenir un accès moins privilégié aux domaines Amazon Service. OpenSearch Il permet un contrôle d'accès au domaine basé sur les rôles, ainsi que la sécurité au niveau des index, des documents et des champs, la prise en charge des tableaux de bord de OpenSearch service, la mutualisation des tableaux de bord des services et l'authentification HTTP de base pour Service et Kibana. OpenSearch | |
| 3,114 | Acheminez l'accès à distance depuis des points de contrôle d'accès gérés. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
| 3,114 | Acheminez l'accès à distance depuis des points de contrôle d'accès gérés. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| 3,114 | Acheminez l'accès à distance depuis des points de contrôle d'accès gérés. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| 3,114 | Acheminez l'accès à distance depuis des points de contrôle d'accès gérés. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| 3,114 | Acheminez l'accès à distance depuis des points de contrôle d'accès gérés. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3,114 | Acheminez l'accès à distance depuis des points de contrôle d'accès gérés. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3,114 | Acheminez l'accès à distance depuis des points de contrôle d'accès gérés. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
| 3,114 | Acheminez l'accès à distance depuis des points de contrôle d'accès gérés. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
| 3,114 | Acheminez l'accès à distance depuis des points de contrôle d'accès gérés. | Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale. | |
| 3,114 | Acheminez l'accès à distance depuis des points de contrôle d'accès gérés. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
| 3,114 | Acheminez l'accès à distance depuis des points de contrôle d'accès gérés. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
| 3,1,20 | Vérifiez et contrôlez/limitez les connexions aux systèmes externes et leur utilisation. | Assurez-vous que les tables de routage Amazon EC2 ne disposent pas de routes illimitées vers une passerelle Internet. La suppression ou la limitation de l'accès à Internet pour les charges de travail au sein des réseaux Amazon VPC peut réduire les accès imprévus au sein de votre environnement. | |
| 3,1,20 | Vérifiez et contrôlez/limitez les connexions aux systèmes externes et leur utilisation. | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
| 3,1,20 | Vérifiez et contrôlez/limitez les connexions aux systèmes externes et leur utilisation. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
| 3,1,20 | Vérifiez et contrôlez/limitez les connexions aux systèmes externes et leur utilisation. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les passerelles Internet ne sont connectées qu'à Amazon Virtual Private Cloud (Amazon VPC) autorisé. Les passerelles Internet permettent un accès bidirectionnel à Internet depuis et vers le réseau Amazon VPC, ce qui peut potentiellement entraîner un accès non autorisé aux ressources Amazon VPC. | |
| 3,1,20 | Vérifiez et contrôlez/limitez les connexions aux systèmes externes et leur utilisation. | Assurez-vous que le contrôle d'accès détaillé est activé sur vos domaines Amazon OpenSearch Service. Le contrôle d'accès précis fournit des mécanismes d'autorisation améliorés pour obtenir un accès moins privilégié aux domaines Amazon Service. OpenSearch Il permet un contrôle d'accès au domaine basé sur les rôles, ainsi que la sécurité au niveau des index, des documents et des champs, la prise en charge des tableaux de bord de OpenSearch service, la mutualisation des tableaux de bord des services et l'authentification HTTP de base pour Service et Kibana. OpenSearch | |
| 3,1,20 | Vérifiez et contrôlez/limitez les connexions aux systèmes externes et leur utilisation. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3,1,20 | Vérifiez et contrôlez/limitez les connexions aux systèmes externes et leur utilisation. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3,1,20 | Vérifiez et contrôlez/limitez les connexions aux systèmes externes et leur utilisation. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
| 3,1,20 | Vérifiez et contrôlez/limitez les connexions aux systèmes externes et leur utilisation. | Gérez l'accès au AWS cloud en activant s3_ bucket_policy_grantee_check. Cette règle vérifie que l'accès accordé par le compartiment Amazon S3 est limité par les principaux, les utilisateurs fédérés, AWS les principaux de service, les adresses IP ou les identifiants Amazon Virtual Private Cloud (Amazon VPC) que vous fournissez. | |
| 3,1,20 | Vérifiez et contrôlez/limitez les connexions aux systèmes externes et leur utilisation. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
| 3,1,20 | Vérifiez et contrôlez/limitez les connexions aux systèmes externes et leur utilisation. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
| 3.3.1 | Créez et conservez des enregistrements d'audit du système dans la mesure nécessaire pour permettre la surveillance, l'analyse, l'investigation et le signalement d'activités illégales, non autorisées ou inappropriées du système. | Assurez-vous que la durée minimale de conservation des données des journaux d'événements pour vos groupes de journaux est suffisante pour faciliter le dépannage et les enquêtes judiciaires. Le manque de données disponibles dans les journaux d'événements passés complique la reconstitution et l'identification des événements potentiellement malveillants. | |
| 3.3.1 | Créez et conservez des enregistrements d'audit du système dans la mesure nécessaire pour permettre la surveillance, l'analyse, l'investigation et le signalement d'activités illégales, non autorisées ou inappropriées du système. | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| 3.3.1 | Créez et conservez des enregistrements d'audit du système dans la mesure nécessaire pour permettre la surveillance, l'analyse, l'investigation et le signalement d'activités illégales, non autorisées ou inappropriées du système. | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
| 3.3.1 | Créez et conservez des enregistrements d'audit du système dans la mesure nécessaire pour permettre la surveillance, l'analyse, l'investigation et le signalement d'activités illégales, non autorisées ou inappropriées du système. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
| 3.3.1 | Créez et conservez des enregistrements d'audit du système dans la mesure nécessaire pour permettre la surveillance, l'analyse, l'investigation et le signalement d'activités illégales, non autorisées ou inappropriées du système. | La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données. | |
| 3.3.1 | Créez et conservez des enregistrements d'audit du système dans la mesure nécessaire pour permettre la surveillance, l'analyse, l'investigation et le signalement d'activités illégales, non autorisées ou inappropriées du système. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| 3.3.1 | Créez et conservez des enregistrements d'audit du système dans la mesure nécessaire pour permettre la surveillance, l'analyse, l'investigation et le signalement d'activités illégales, non autorisées ou inappropriées du système. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait. | |
| 3.3.1 | Créez et conservez des enregistrements d'audit du système dans la mesure nécessaire pour permettre la surveillance, l'analyse, l'investigation et le signalement d'activités illégales, non autorisées ou inappropriées du système. | La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs. | |
| 3.3.1 | Créez et conservez des enregistrements d'audit du système dans la mesure nécessaire pour permettre la surveillance, l'analyse, l'investigation et le signalement d'activités illégales, non autorisées ou inappropriées du système. | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS. | |
| 3.3.1 | Créez et conservez des enregistrements d'audit du système dans la mesure nécessaire pour permettre la surveillance, l'analyse, l'investigation et le signalement d'activités illégales, non autorisées ou inappropriées du système. | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
| 3.3.1 | Créez et conservez des enregistrements d'audit du système dans la mesure nécessaire pour permettre la surveillance, l'analyse, l'investigation et le signalement d'activités illégales, non autorisées ou inappropriées du système. | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les Compte AWS informations qui ont accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
| 3.3.1 | Créez et conservez des enregistrements d'audit du système dans la mesure nécessaire pour permettre la surveillance, l'analyse, l'investigation et le signalement d'activités illégales, non autorisées ou inappropriées du système. | L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. | |
| 3.3.1 | Créez et conservez des enregistrements d'audit du système dans la mesure nécessaire pour permettre la surveillance, l'analyse, l'investigation et le signalement d'activités illégales, non autorisées ou inappropriées du système. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| 3.3.1 | Créez et conservez des enregistrements d'audit du système dans la mesure nécessaire pour permettre la surveillance, l'analyse, l'investigation et le signalement d'activités illégales, non autorisées ou inappropriées du système. | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| 3.3.1 | Créez et conservez des enregistrements d'audit du système dans la mesure nécessaire pour permettre la surveillance, l'analyse, l'investigation et le signalement d'activités illégales, non autorisées ou inappropriées du système. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.3.1 | Créez et conservez des enregistrements d'audit du système dans la mesure nécessaire pour permettre la surveillance, l'analyse, l'investigation et le signalement d'activités illégales, non autorisées ou inappropriées du système. | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
| 3.3.1 | Créez et conservez des enregistrements d'audit du système dans la mesure nécessaire pour permettre la surveillance, l'analyse, l'investigation et le signalement d'activités illégales, non autorisées ou inappropriées du système. | Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole. | |
| 3.3.2 | Assurez-vous que les actions des différents utilisateurs du système peuvent être retracées de manière unique jusqu'à ces utilisateurs afin qu'ils puissent être tenus pour responsables de leurs actions. | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
| 3.3.2 | Assurez-vous que les actions des différents utilisateurs du système peuvent être retracées de manière unique jusqu'à ces utilisateurs afin qu'ils puissent être tenus pour responsables de leurs actions. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
| 3.3.2 | Assurez-vous que les actions des différents utilisateurs du système peuvent être retracées de manière unique jusqu'à ces utilisateurs afin qu'ils puissent être tenus pour responsables de leurs actions. | La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs. | |
| 3.3.2 | Assurez-vous que les actions des différents utilisateurs du système peuvent être retracées de manière unique jusqu'à ces utilisateurs afin qu'ils puissent être tenus pour responsables de leurs actions. | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS. | |
| 3.3.2 | Assurez-vous que les actions des différents utilisateurs du système peuvent être retracées de manière unique jusqu'à ces utilisateurs afin qu'ils puissent être tenus pour responsables de leurs actions. | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
| 3.3.2 | Assurez-vous que les actions des différents utilisateurs du système peuvent être retracées de manière unique jusqu'à ces utilisateurs afin qu'ils puissent être tenus pour responsables de leurs actions. | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les Compte AWS informations qui ont accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
| 3.3.2 | Assurez-vous que les actions des différents utilisateurs du système peuvent être retracées de manière unique jusqu'à ces utilisateurs afin qu'ils puissent être tenus pour responsables de leurs actions. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.3.2 | Assurez-vous que les actions des différents utilisateurs du système peuvent être retracées de manière unique jusqu'à ces utilisateurs afin qu'ils puissent être tenus pour responsables de leurs actions. | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
| 3.3.4 | Alerte en cas d'échec du processus d'audit. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| 3.3.4 | Alerte en cas d'échec du processus d'audit. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| 3.3.5 | Mettez en corrélation les processus d'examen, d'analyse et de génération de rapports d'audit à des fins d'enquête et de réponse aux indications d'activités inappropriées, suspectes ou inhabituelles. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| 3.3.5 | Mettez en corrélation les processus d'examen, d'analyse et de génération de rapports d'audit à des fins d'enquête et de réponse aux indications d'activités inappropriées, suspectes ou inhabituelles. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| 3.3.8 | Protégez les informations d'audit et les outils d'audit contre tout accès, modification et suppression non autorisés. | Assurez-vous que le verrouillage est activé par défaut dans votre compartiment Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments S3, appliquez le verrouillage d'objet au repos pour protéger ces données. | |
| 3.3.8 | Protégez les informations d'audit et les outils d'audit contre tout accès, modification et suppression non autorisés. | La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative. | |
| 3.3.8 | Protégez les informations d'audit et les outils d'audit contre tout accès, modification et suppression non autorisés. | Utilisez la validation des fichiers AWS CloudTrail journaux pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonctionnalité est créée grâce à des algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection. | |
| 3.3.8 | Protégez les informations d'audit et les outils d'audit contre tout accès, modification et suppression non autorisés. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.3.8 | Protégez les informations d'audit et les outils d'audit contre tout accès, modification et suppression non autorisés. | Gérez l'accès au AWS cloud en activant s3_ bucket_policy_grantee_check. Cette règle vérifie que l'accès accordé par le compartiment Amazon S3 est limité par les principaux, les utilisateurs fédérés, AWS les principaux de service, les adresses IP ou les identifiants Amazon Virtual Private Cloud (Amazon VPC) que vous fournissez. | |
| 3.3.8 | Protégez les informations d'audit et les outils d'audit contre tout accès, modification et suppression non autorisés. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| 3.3.8 | Protégez les informations d'audit et les outils d'audit contre tout accès, modification et suppression non autorisés. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| 3.3.8 | Protégez les informations d'audit et les outils d'audit contre tout accès, modification et suppression non autorisés. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données. | |
| 3.3.8 | Protégez les informations d'audit et les outils d'audit contre tout accès, modification et suppression non autorisés. | La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative. | |
| 3.4.1 | Élaborez et maintenez des configurations de référence et des inventaires de systèmes organisationnels (y compris du matériel, des logiciels, des microprogrammes et de la documentation) tout au long des cycles de développement des systèmes respectifs. | Cette règle garantit que les groupes de sécurité sont associés à une instance Amazon Elastic Compute Cloud (Amazon EC2) ou à une ENI. Cette règle permet de surveiller les groupes de sécurité non utilisés dans l'inventaire et de gérer votre environnement. | |
| 3.4.1 | Élaborez et maintenez des configurations de référence et des inventaires de systèmes organisationnels (y compris du matériel, des logiciels, des microprogrammes et de la documentation) tout au long des cycles de développement des systèmes respectifs. | Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement. | |
| 3.4.1 | Élaborez et maintenez des configurations de référence et des inventaires de systèmes organisationnels (y compris du matériel, des logiciels, des microprogrammes et de la documentation) tout au long des cycles de développement des systèmes respectifs. | Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des niveaux de référence pour les niveaux de correctifs du système d'exploitation, les installations de logiciels, les configurations d'applications et d'autres informations relatives à votre environnement. | |
| 3.4.1 | Élaborez et maintenez des configurations de référence et des inventaires de systèmes organisationnels (y compris du matériel, des logiciels, des microprogrammes et de la documentation) tout au long des cycles de développement des systèmes respectifs. | Activez cette règle pour faciliter la configuration de référence des instances Amazon Elastic Compute Cloud (Amazon EC2) en vérifiant si les instances Amazon EC2 ont été arrêtées pendant un nombre de jours supérieur au nombre autorisé, conformément aux normes de votre organisation. | |
| 3.4.1 | Élaborez et maintenez des configurations de référence et des inventaires de systèmes organisationnels (y compris du matériel, des logiciels, des microprogrammes et de la documentation) tout au long des cycles de développement des systèmes respectifs. | Cette règle garantit que les volumes Amazon Elastic Block Store attachés aux instances Amazon Elastic Compute Cloud (Amazon EC2) sont marqués pour suppression lorsqu'une instance est résiliée. Si un volume Amazon EBS n'est pas supprimé lorsque l'instance à laquelle il est attaché est résiliée, cela peut enfreindre le concept de moindre fonctionnalité. | |
| 3.4.1 | Élaborez et maintenez des configurations de référence et des inventaires de systèmes organisationnels (y compris du matériel, des logiciels, des microprogrammes et de la documentation) tout au long des cycles de développement des systèmes respectifs. | Cette règle garantit que les adresses IP Elastic (EIP) allouées à un réseau Amazon Virtual Private Cloud (Amazon VPC) sont attachées aux instances Amazon Elastic Compute Cloud (Amazon EC2) ou aux interfaces réseaux Elastic (ENI) en cours d'utilisation. Cette règle permet de surveiller les EIP non utilisées dans votre environnement. | |
| 3.4.6 | Utilisez le principe de moindre fonctionnalité en configurant les systèmes de l'organisation de manière à ne fournir que les fonctionnalités essentielles. | Les profils d'instance EC2 transmettent un rôle IAM à une instance EC2. L'association d'un profil d'instance à vos instances peut faciliter la gestion du moindre privilège et des autorisations. | |
| 3.4.6 | Utilisez le principe de moindre fonctionnalité en configurant les systèmes de l'organisation de manière à ne fournir que les fonctionnalités essentielles. | Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges. | |
| 3.4.6 | Utilisez le principe de moindre fonctionnalité en configurant les systèmes de l'organisation de manière à ne fournir que les fonctionnalités essentielles. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
| 3.4.6 | Utilisez le principe de moindre fonctionnalité en configurant les systèmes de l'organisation de manière à ne fournir que les fonctionnalités essentielles. | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| 3.4.6 | Utilisez le principe de moindre fonctionnalité en configurant les systèmes de l'organisation de manière à ne fournir que les fonctionnalités essentielles. | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
| 3.4.6 | Utilisez le principe de moindre fonctionnalité en configurant les systèmes de l'organisation de manière à ne fournir que les fonctionnalités essentielles. | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| 3.4.6 | Utilisez le principe de moindre fonctionnalité en configurant les systèmes de l'organisation de manière à ne fournir que les fonctionnalités essentielles. | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| 3.4.6 | Utilisez le principe de moindre fonctionnalité en configurant les systèmes de l'organisation de manière à ne fournir que les fonctionnalités essentielles. | Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement. | |
| 3.4.6 | Utilisez le principe de moindre fonctionnalité en configurant les systèmes de l'organisation de manière à ne fournir que les fonctionnalités essentielles. | Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des niveaux de référence pour les niveaux de correctifs du système d'exploitation, les installations de logiciels, les configurations d'applications et d'autres informations relatives à votre environnement. | |
| 3.4.6 | Utilisez le principe de moindre fonctionnalité en configurant les systèmes de l'organisation de manière à ne fournir que les fonctionnalités essentielles. | Cette règle garantit que les volumes Amazon Elastic Block Store attachés aux instances Amazon Elastic Compute Cloud (Amazon EC2) sont marqués pour suppression lorsqu'une instance est résiliée. Si un volume Amazon EBS n'est pas supprimé lorsque l'instance à laquelle il est attaché est résiliée, cela peut enfreindre le concept de moindre fonctionnalité. | |
| 3.4.6 | Utilisez le principe de moindre fonctionnalité en configurant les systèmes de l'organisation de manière à ne fournir que les fonctionnalités essentielles. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| 3.4.6 | Utilisez le principe de moindre fonctionnalité en configurant les systèmes de l'organisation de manière à ne fournir que les fonctionnalités essentielles. | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité. | |
| 3.4.6 | Utilisez le principe de moindre fonctionnalité en configurant les systèmes de l'organisation de manière à ne fournir que les fonctionnalités essentielles. | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
| 3.4.6 | Utilisez le principe de moindre fonctionnalité en configurant les systèmes de l'organisation de manière à ne fournir que les fonctionnalités essentielles. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
| 3.4.6 | Utilisez le principe de moindre fonctionnalité en configurant les systèmes de l'organisation de manière à ne fournir que les fonctionnalités essentielles. | Assurez-vous que le contrôle d'accès détaillé est activé sur vos domaines Amazon OpenSearch Service. Le contrôle d'accès précis fournit des mécanismes d'autorisation améliorés pour obtenir un accès moins privilégié aux domaines Amazon Service. OpenSearch Il permet un contrôle d'accès au domaine basé sur les rôles, ainsi que la sécurité au niveau des index, des documents et des champs, la prise en charge des tableaux de bord de OpenSearch service, la mutualisation des tableaux de bord des services et l'authentification HTTP de base pour Service et Kibana. OpenSearch | |
| 3.4.6 | Utilisez le principe de moindre fonctionnalité en configurant les systèmes de l'organisation de manière à ne fournir que les fonctionnalités essentielles. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| 3.4.6 | Utilisez le principe de moindre fonctionnalité en configurant les systèmes de l'organisation de manière à ne fournir que les fonctionnalités essentielles. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| 3.4.6 | Utilisez le principe de moindre fonctionnalité en configurant les systèmes de l'organisation de manière à ne fournir que les fonctionnalités essentielles. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.4.6 | Utilisez le principe de moindre fonctionnalité en configurant les systèmes de l'organisation de manière à ne fournir que les fonctionnalités essentielles. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
| 3.4.6 | Utilisez le principe de moindre fonctionnalité en configurant les systèmes de l'organisation de manière à ne fournir que les fonctionnalités essentielles. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| 3.4.6 | Utilisez le principe de moindre fonctionnalité en configurant les systèmes de l'organisation de manière à ne fournir que les fonctionnalités essentielles. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| 3.4.7 | Limitez, désactivez et empêchez l'utilisation de fonctions, de ports, de protocoles ou de services non essentiels. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
| 3.4.7 | Limitez, désactivez et empêchez l'utilisation de fonctions, de ports, de protocoles ou de services non essentiels. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.4.7 | Limitez, désactivez et empêchez l'utilisation de fonctions, de ports, de protocoles ou de services non essentiels. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
| 3.4.7 | Limitez, désactivez et empêchez l'utilisation de fonctions, de ports, de protocoles ou de services non essentiels. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
| 3.4.9 | Contrôlez et surveillez les logiciels installés par l'utilisateur. | Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement. | |
| 3.4.9 | Contrôlez et surveillez les logiciels installés par l'utilisateur. | Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des niveaux de référence pour les niveaux de correctifs du système d'exploitation, les installations de logiciels, les configurations d'applications et d'autres informations relatives à votre environnement. | |
| 3.5.2 | Authentifiez (ou vérifiez) l'identité de ces utilisateurs, processus ou appareils, comme condition préalable pour autoriser l'accès aux systèmes de l'organisation. | Pour faciliter la mise en œuvre du principe du moindre privilège, assurez-vous que l'application des utilisateurs est activée pour votre Amazon Elastic File System (Amazon EFS). Lorsque cette option est activée, Amazon EFS remplace les ID utilisateur et de groupe du client NFS par l'identité configurée sur le point d'accès pour toutes les opérations du système de fichiers et n'accorde l'accès qu'à cette identité d'utilisateur appliquée. | |
| 3.5.2 | Authentifiez (ou vérifiez) l'identité de ces utilisateurs, processus ou appareils, comme condition préalable pour autoriser l'accès aux systèmes de l'organisation. | Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs. | |
| 3.5.2 | Authentifiez (ou vérifiez) l'identité de ces utilisateurs, processus ou appareils, comme condition préalable pour autoriser l'accès aux systèmes de l'organisation. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles. | |
| 3.5.3 | Utilisez l'authentification multifactorielle pour l'accès local et réseau aux comptes privilégiés et pour l'accès réseau aux comptes non privilégiés. | Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs. | |
| 3.5.3 | Utilisez l'authentification multifactorielle pour l'accès local et réseau aux comptes privilégiés et pour l'accès réseau aux comptes non privilégiés. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles. | |
| 3.5.3 | Utilisez l'authentification multifactorielle pour l'accès local et réseau aux comptes privilégiés et pour l'accès réseau aux comptes non privilégiés. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. La MFA ajoute une couche supplémentaire de protection pour les informations d'identification de connexion En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
| 3.5.3 | Utilisez l'authentification multifactorielle pour l'accès local et réseau aux comptes privilégiés et pour l'accès réseau aux comptes non privilégiés. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. La MFA ajoute une couche supplémentaire de protection pour les informations d'identification de connexion En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
| 3.5.5 | Empêchez la réutilisation des identifiants pendant une période définie. | Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.5.6 | Désactivez les identifiants au bout d'une période d'inactivité définie. | AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| 3.5.7 | Exigez une complexité minimale des mots de passe et un changement de caractères lors de la création de nouveaux mots de passe. | Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.5.8 | Interdisez la réutilisation des mots de passe pendant un certain nombre de générations. | Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.5.10 | Stockez et transmettez uniquement des mots de passe protégés par chiffrement. | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3.5.10 | Stockez et transmettez uniquement des mots de passe protégés par chiffrement. | Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3.5.10 | Stockez et transmettez uniquement des mots de passe protégés par chiffrement. | Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3.5.10 | Stockez et transmettez uniquement des mots de passe protégés par chiffrement. | Assurez-vous que les étapes de l'API REST Amazon API Gateway sont configurées avec des certificats SSL pour permettre aux systèmes backend d'authentifier que les demandes proviennent d'API Gateway. | |
| 3.5.10 | Stockez et transmettez uniquement des mots de passe protégés par chiffrement. | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes. | |
| 3.5.10 | Stockez et transmettez uniquement des mots de passe protégés par chiffrement. | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). | |
| 3.5.10 | Stockez et transmettez uniquement des mots de passe protégés par chiffrement. | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3.5.10 | Stockez et transmettez uniquement des mots de passe protégés par chiffrement. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.5.10 | Stockez et transmettez uniquement des mots de passe protégés par chiffrement. | Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3.5.10 | Stockez et transmettez uniquement des mots de passe protégés par chiffrement. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données. | |
| 3.5.10 | Stockez et transmettez uniquement des mots de passe protégés par chiffrement. | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3.6.1 | Établissez une capacité opérationnelle de traitement des incidents pour les systèmes de l'organisation, qui comprend des activités de préparation, de détection, d'analyse, de confinement, de récupération et de réponse des utilisateurs. | Amazon vous GuardDuty aide à comprendre l'impact d'un incident en classant les résultats par gravité : faible, moyenne et élevée. Vous pouvez utiliser ces classifications pour déterminer les stratégies et les priorités de correction. Cette règle vous permet de définir éventuellement daysLowSev (Config Default : 30), daysMediumSev (Config Default : 7) et daysHighSev (Config Default : 1) pour les résultats non archivés, comme l'exigent les politiques de votre organisation. | |
| 3.6.1 | Établissez une capacité opérationnelle de traitement des incidents pour les systèmes de l'organisation, qui comprend des activités de préparation, de détection, d'analyse, de confinement, de récupération et de réponse des utilisateurs. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| 3.6.1 | Établissez une capacité opérationnelle de traitement des incidents pour les systèmes de l'organisation, qui comprend des activités de préparation, de détection, d'analyse, de confinement, de récupération et de réponse des utilisateurs. | Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement. | |
| 3.6.1 | Établissez une capacité opérationnelle de traitement des incidents pour les systèmes de l'organisation, qui comprend des activités de préparation, de détection, d'analyse, de confinement, de récupération et de réponse des utilisateurs. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| 3.11.2 | Recherchez régulièrement les vulnérabilités dans les systèmes et applications de l'organisation et lorsque de nouvelles vulnérabilités affectant le système sont identifiées. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| 3.11.2 | Recherchez régulièrement les vulnérabilités dans les systèmes et applications de l'organisation et lorsque de nouvelles vulnérabilités affectant le système sont identifiées. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| 3.11.3 | Corrigez les vulnérabilités conformément aux évaluations des risques. | Amazon vous GuardDuty aide à comprendre l'impact d'un incident en classant les résultats par gravité : faible, moyenne et élevée. Vous pouvez utiliser ces classifications pour déterminer les stratégies et les priorités de correction. Cette règle vous permet de définir éventuellement daysLowSev (Config Default : 30), daysMediumSev (Config Default : 7) et daysHighSev (Config Default : 1) pour les résultats non archivés, comme l'exigent les politiques de votre organisation. | |
| 3.13.1 | Surveillez, contrôlez et protégez les communications (c'est-à-dire les informations transmises ou reçues par les systèmes de l'organisation) aux limites externes et aux principales limites internes des systèmes de l'organisation. | Assurez-vous que AWS le WAF est activé sur les Elastic Load Balancers (ELB) pour protéger les applications Web. Un WAF aide à protéger vos applications Web ou API contre les menaces Web courantes. Ces attaques web peuvent affecter la disponibilité, compromettre la sécurité ou consommer des ressources excessives dans votre environnement. | |
| 3.13.1 | Surveillez, contrôlez et protégez les communications (c'est-à-dire les informations transmises ou reçues par les systèmes de l'organisation) aux limites externes et aux principales limites internes des systèmes de l'organisation. | Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3.13.1 | Surveillez, contrôlez et protégez les communications (c'est-à-dire les informations transmises ou reçues par les systèmes de l'organisation) aux limites externes et aux principales limites internes des systèmes de l'organisation. | Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès. | |
| 3.13.1 | Surveillez, contrôlez et protégez les communications (c'est-à-dire les informations transmises ou reçues par les systèmes de l'organisation) aux limites externes et aux principales limites internes des systèmes de l'organisation. | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
| 3.13.1 | Surveillez, contrôlez et protégez les communications (c'est-à-dire les informations transmises ou reçues par les systèmes de l'organisation) aux limites externes et aux principales limites internes des systèmes de l'organisation. | Assurez-vous que les tables de routage Amazon EC2 ne disposent pas de routes illimitées vers une passerelle Internet. La suppression ou la limitation de l'accès à Internet pour les charges de travail au sein des réseaux Amazon VPC peut réduire les accès imprévus au sein de votre environnement. | |
| 3.13.1 | Surveillez, contrôlez et protégez les communications (c'est-à-dire les informations transmises ou reçues par les systèmes de l'organisation) aux limites externes et aux principales limites internes des systèmes de l'organisation. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
| 3.13.1 | Surveillez, contrôlez et protégez les communications (c'est-à-dire les informations transmises ou reçues par les systèmes de l'organisation) aux limites externes et aux principales limites internes des systèmes de l'organisation. | Le routage VPC amélioré oblige tout le trafic COPY et UNLOAD entre le cluster et les référentiels de données à passer par votre réseau Amazon VPC. Vous pouvez ensuite utiliser les fonctionnalités VPC, telles que les groupes de sécurité et les listes de contrôle d'accès réseau, pour sécuriser le trafic réseau. Vous pouvez également utiliser les journaux de flux VPC pour surveiller le trafic réseau. | |
| 3.13.1 | Surveillez, contrôlez et protégez les communications (c'est-à-dire les informations transmises ou reçues par les systèmes de l'organisation) aux limites externes et aux principales limites internes des systèmes de l'organisation. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| 3.13.1 | Surveillez, contrôlez et protégez les communications (c'est-à-dire les informations transmises ou reçues par les systèmes de l'organisation) aux limites externes et aux principales limites internes des systèmes de l'organisation. | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
| 3.13.1 | Surveillez, contrôlez et protégez les communications (c'est-à-dire les informations transmises ou reçues par les systèmes de l'organisation) aux limites externes et aux principales limites internes des systèmes de l'organisation. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait. | |
| 3.13.1 | Surveillez, contrôlez et protégez les communications (c'est-à-dire les informations transmises ou reçues par les systèmes de l'organisation) aux limites externes et aux principales limites internes des systèmes de l'organisation. | Assurez-vous que l'intégrité du réseau est protégée en vous assurant que les certificats X509 sont émis par AWS ACM. Ces certificats doivent être valides et non expirés. Cette règle nécessite une valeur pour daysToExpiration (valeur des meilleures pratiques de sécuritéAWS fondamentales : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| 3.13.1 | Surveillez, contrôlez et protégez les communications (c'est-à-dire les informations transmises ou reçues par les systèmes de l'organisation) aux limites externes et aux principales limites internes des systèmes de l'organisation. | Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3.13.1 | Surveillez, contrôlez et protégez les communications (c'est-à-dire les informations transmises ou reçues par les systèmes de l'organisation) aux limites externes et aux principales limites internes des systèmes de l'organisation. | La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs. | |
| 3.13.1 | Surveillez, contrôlez et protégez les communications (c'est-à-dire les informations transmises ou reçues par les systèmes de l'organisation) aux limites externes et aux principales limites internes des systèmes de l'organisation. | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
| 3.13.1 | Surveillez, contrôlez et protégez les communications (c'est-à-dire les informations transmises ou reçues par les systèmes de l'organisation) aux limites externes et aux principales limites internes des systèmes de l'organisation. | Utilisez la validation des fichiers AWS CloudTrail journaux pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonctionnalité est créée grâce à des algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection. | |
| 3.13.1 | Surveillez, contrôlez et protégez les communications (c'est-à-dire les informations transmises ou reçues par les systèmes de l'organisation) aux limites externes et aux principales limites internes des systèmes de l'organisation. | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les Compte AWS informations qui ont accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
| 3.13.1 | Surveillez, contrôlez et protégez les communications (c'est-à-dire les informations transmises ou reçues par les systèmes de l'organisation) aux limites externes et aux principales limites internes des systèmes de l'organisation. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
| 3.13.1 | Surveillez, contrôlez et protégez les communications (c'est-à-dire les informations transmises ou reçues par les systèmes de l'organisation) aux limites externes et aux principales limites internes des systèmes de l'organisation. | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes. | |
| 3.13.1 | Surveillez, contrôlez et protégez les communications (c'est-à-dire les informations transmises ou reçues par les systèmes de l'organisation) aux limites externes et aux principales limites internes des systèmes de l'organisation. | L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. | |
| 3.13.1 | Surveillez, contrôlez et protégez les communications (c'est-à-dire les informations transmises ou reçues par les systèmes de l'organisation) aux limites externes et aux principales limites internes des systèmes de l'organisation. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| 3.13.1 | Surveillez, contrôlez et protégez les communications (c'est-à-dire les informations transmises ou reçues par les systèmes de l'organisation) aux limites externes et aux principales limites internes des systèmes de l'organisation. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
| 3.13.1 | Surveillez, contrôlez et protégez les communications (c'est-à-dire les informations transmises ou reçues par les systèmes de l'organisation) aux limites externes et aux principales limites internes des systèmes de l'organisation. | Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC. | |
| 3.13.1 | Surveillez, contrôlez et protégez les communications (c'est-à-dire les informations transmises ou reçues par les systèmes de l'organisation) aux limites externes et aux principales limites internes des systèmes de l'organisation. | Assurez-vous que le contrôle d'accès détaillé est activé sur vos domaines Amazon OpenSearch Service. Le contrôle d'accès précis fournit des mécanismes d'autorisation améliorés pour obtenir un accès moins privilégié aux domaines Amazon Service. OpenSearch Il permet un contrôle d'accès au domaine basé sur les rôles, ainsi que la sécurité au niveau des index, des documents et des champs, la prise en charge des tableaux de bord de OpenSearch service, la mutualisation des tableaux de bord des services et l'authentification HTTP de base pour Service et Kibana. OpenSearch | |
| 3.13.1 | Surveillez, contrôlez et protégez les communications (c'est-à-dire les informations transmises ou reçues par les systèmes de l'organisation) aux limites externes et aux principales limites internes des systèmes de l'organisation. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
| 3.13.1 | Surveillez, contrôlez et protégez les communications (c'est-à-dire les informations transmises ou reçues par les systèmes de l'organisation) aux limites externes et aux principales limites internes des systèmes de l'organisation. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| 3.13.1 | Surveillez, contrôlez et protégez les communications (c'est-à-dire les informations transmises ou reçues par les systèmes de l'organisation) aux limites externes et aux principales limites internes des systèmes de l'organisation. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| 3.13.1 | Surveillez, contrôlez et protégez les communications (c'est-à-dire les informations transmises ou reçues par les systèmes de l'organisation) aux limites externes et aux principales limites internes des systèmes de l'organisation. | Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3.13.1 | Surveillez, contrôlez et protégez les communications (c'est-à-dire les informations transmises ou reçues par les systèmes de l'organisation) aux limites externes et aux principales limites internes des systèmes de l'organisation. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.13.1 | Surveillez, contrôlez et protégez les communications (c'est-à-dire les informations transmises ou reçues par les systèmes de l'organisation) aux limites externes et aux principales limites internes des systèmes de l'organisation. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.13.1 | Surveillez, contrôlez et protégez les communications (c'est-à-dire les informations transmises ou reçues par les systèmes de l'organisation) aux limites externes et aux principales limites internes des systèmes de l'organisation. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
| 3.13.1 | Surveillez, contrôlez et protégez les communications (c'est-à-dire les informations transmises ou reçues par les systèmes de l'organisation) aux limites externes et aux principales limites internes des systèmes de l'organisation. | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
| 3.13.1 | Surveillez, contrôlez et protégez les communications (c'est-à-dire les informations transmises ou reçues par les systèmes de l'organisation) aux limites externes et aux principales limites internes des systèmes de l'organisation. | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3.13.1 | Surveillez, contrôlez et protégez les communications (c'est-à-dire les informations transmises ou reçues par les systèmes de l'organisation) aux limites externes et aux principales limites internes des systèmes de l'organisation. | Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole. | |
| 3.13.1 | Surveillez, contrôlez et protégez les communications (c'est-à-dire les informations transmises ou reçues par les systèmes de l'organisation) aux limites externes et aux principales limites internes des systèmes de l'organisation. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | Cette règle permet de garantir l'utilisation des meilleures pratiques de sécurité AWS recommandées pour AWS CloudTrail, en vérifiant l'activation de plusieurs paramètres. Il s'agit notamment de l'utilisation du chiffrement des journaux, de la validation des journaux et de AWS CloudTrail l'activation dans plusieurs régions. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos tables Amazon DynamoDB font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos volumes Amazon Elastic Block Store (Amazon EBS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon Elastic File System (Amazon EFS) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | Activez l'équilibrage de charge entre zones pour vos équilibreurs de charge Elastic Load Balancing (ELB) afin de maintenir une capacité et une disponibilité adéquates. L'équilibrage de charge entre zones réduit la nécessité de maintenir un nombre équivalent d'instances dans chaque zone de disponibilité activée. Cela améliore également la capacité de votre application à gérer la perte d'une ou de plusieurs instances. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | Assurez-vous que la protection contre la suppression est activée sur les instances Amazon Relational Database Service (Amazon RDS). Utilisez la protection contre la suppression pour empêcher la suppression accidentelle ou malveillante des instances Amazon RDS, ce qui pourrait entraîner une perte de disponibilité pour vos applications. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos instances Amazon Relational Database Service (Amazon RDS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos clusters Amazon Redshift disposent d'instantanés automatisés. Lorsque les instantanés automatiques sont activés pour un cluster, Redshift prend régulièrement des instantanés de ce cluster. Par défaut, Redshift prend un instantané toutes les huit heures ou tous les 5 Go pour chaque nœud de modification des données, ou selon la première éventualité. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | Assurez-vous que l'intégrité du réseau est protégée en vous assurant que les certificats X509 sont émis par AWS ACM. Ces certificats doivent être valides et non expirés. Cette règle nécessite une valeur pour daysToExpiration (valeur des meilleures pratiques de sécuritéAWS fondamentales : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | La surveillance de l'état Elastic Load Balancer (ELB) pour les groupes Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) permet de maintenir une capacité et une disponibilité adéquates. L'équilibreur de charge envoie périodiquement des pings, effectue des tentatives de connexion ou adresse des demandes pour tester l'état des instances Amazon EC2 dans un groupe Auto Scaling. Si une instance ne renvoie pas de rapport, le trafic est envoyé à une nouvelle instance Amazon EC2. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | Assurez-vous que les informations d'authentification AWS_ACCESS_KEY_ID et AWS_SECRET_ACCESS_KEY n'existent pas dans les environnements de projet Codebuild. AWS Ne stockez pas ces variables en clair. Le stockage de ces variables en clair entraîne une exposition involontaire des données et un accès non autorisé. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | Assurez-vous que l'URL du référentiel source GitHub ou de Bitbucket ne contient pas de jetons d'accès personnels ni d'identifiants de connexion dans les environnements de projet AWS Codebuild. Utilisez OAuth au lieu de jetons d'accès personnels ou d'identifiants de connexion pour autoriser l'accès aux GitHub référentiels Bitbucket. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | La fonctionnalité de sauvegarde d'Amazon RDS crée des sauvegardes de vos bases de données et de vos journaux de transactions. Amazon RDS crée automatiquement un instantané du volume de stockage de votre instance de base de données, en sauvegardant l'intégralité de cette dernière. Le système vous permet de définir des périodes de conservation spécifiques pour répondre à vos exigences de résilience. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | Amazon DynamoDB Auto Scaling AWS utilise le service Application Auto Scaling pour ajuster la capacité de débit allouée afin de répondre automatiquement aux modèles de trafic réels. Cela permet à une table ou à un index secondaire global d'augmenter sa capacité de lecture/d'écriture approvisionnée afin de gérer les hausses soudaines de trafic sans limitation. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | Activez cette règle pour vérifier que les informations ont été sauvegardées. Il gère également les sauvegardes en s'assurant que la point-in-time restauration est activée dans Amazon DynamoDB. La récupération permet de maintenir des sauvegardes continues de votre table pour les 35 derniers jours. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | Activez cette règle pour vous assurer que la capacité de débit allouée est vérifiée sur vos tables Amazon DynamoDB. Il s'agit du volume d'activité de lecture/d'écriture que chaque table peut prendre en charge. DynamoDB utilise ces informations pour réserver des ressources système suffisantes pour répondre à vos exigences de débit. Cette règle génère une alerte lorsque le débit approche de la limite maximale pour le compte d'un client. Cette règle vous permet de définir éventuellement les paramètres AccountRCU (ThresholdPercentage Config Default : 80) et AccountWCU ThresholdPercentage (Config Default : 80). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | Une instance optimisée dans Amazon Elastic Block Store (Amazon EBS) fournit une capacité supplémentaire dédiée aux opérations d'E/S d'Amazon EBS. Cette optimisation offre les performances les plus efficaces pour vos volumes EBS en minimisant les conflits entre les opérations d'E/S d'Amazon EBS et le trafic restant de votre instance. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | elasticache-redis-cluster-automatic-vérification des sauvegardes |
Lorsque les sauvegardes automatiques sont activées, Amazon ElastiCache crée une sauvegarde du cluster quotidiennement. La sauvegarde peut être conservée pendant un nombre de jours défini par votre organisation. Les sauvegardes automatiques peuvent constituer une protection contre la perte de données. En cas de défaillance, vous pouvez créer un nouveau cluster, ce qui restaurera vos données à partir de la sauvegarde la plus récente. |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | Cette règle garantit que la protection contre la suppression est activée pour Elastic Load Balancing. Utilisez cette fonctionnalité pour empêcher la suppression accidentelle ou malveillante de votre équilibreur de charge, ce qui pourrait entraîner une perte de disponibilité pour vos applications. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | Assurez-vous que le contrôle d'accès détaillé est activé sur vos domaines Amazon OpenSearch Service. Le contrôle d'accès précis fournit des mécanismes d'autorisation améliorés pour obtenir un accès moins privilégié aux domaines Amazon Service. OpenSearch Il permet un contrôle d'accès au domaine basé sur les rôles, ainsi que la sécurité au niveau des index, des documents et des champs, la prise en charge des tableaux de bord de OpenSearch service, la mutualisation des tableaux de bord des services et l'authentification HTTP de base pour Service et Kibana. OpenSearch | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | La prise en charge multi-AZ dans Amazon Relational Database Service (Amazon RDS) offre une disponibilité et une durabilité améliorées pour les instances de base de données. Lorsque vous mettez en service une instance de base de données multi-AZ, Amazon RDS crée automatiquement une instance de base de données principale et réplique de manière synchrone les données vers une instance de secours dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
| 3.13.2 | Utilisez des conceptions architecturales, des techniques de développement de logiciels et des principes d'ingénierie des systèmes qui favorisent une sécurité efficace de l'information au sein des systèmes de l'organisation. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
| 3.13,6 | Refusez le trafic de communications réseau par défaut et autorisez le trafic de communications réseau par exception (c'est-à-dire, tout refuser, autoriser par exception). | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
| 3.13,6 | Refusez le trafic de communications réseau par défaut et autorisez le trafic de communications réseau par exception (c'est-à-dire, tout refuser, autoriser par exception). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.13,6 | Refusez le trafic de communications réseau par défaut et autorisez le trafic de communications réseau par exception (c'est-à-dire, tout refuser, autoriser par exception). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
| 3,13,8 | Mettez en œuvre des mécanismes de chiffrement pour empêcher la divulgation non autorisée de CUI pendant la transmission, sous réserve de l'application d'autres mesures de protection physique. | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3,13,8 | Mettez en œuvre des mécanismes de chiffrement pour empêcher la divulgation non autorisée de CUI pendant la transmission, sous réserve de l'application d'autres mesures de protection physique. | Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3,13,8 | Mettez en œuvre des mécanismes de chiffrement pour empêcher la divulgation non autorisée de CUI pendant la transmission, sous réserve de l'application d'autres mesures de protection physique. | Assurez-vous que les étapes de l'API REST Amazon API Gateway sont configurées avec des certificats SSL pour permettre aux systèmes backend d'authentifier que les demandes proviennent d'API Gateway. | |
| 3,13,8 | Mettez en œuvre des mécanismes de chiffrement pour empêcher la divulgation non autorisée de CUI pendant la transmission, sous réserve de l'application d'autres mesures de protection physique. | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes. | |
| 3,13,8 | Mettez en œuvre des mécanismes de chiffrement pour empêcher la divulgation non autorisée de CUI pendant la transmission, sous réserve de l'application d'autres mesures de protection physique. | Étant donné que des données sensibles peuvent exister et pour protéger les données en transit, assurez-vous que le protocole HTTPS est activé pour les connexions à vos domaines Amazon OpenSearch Service. | |
| 3,13,8 | Mettez en œuvre des mécanismes de chiffrement pour empêcher la divulgation non autorisée de CUI pendant la transmission, sous réserve de l'application d'autres mesures de protection physique. | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3,13,8 | Mettez en œuvre des mécanismes de chiffrement pour empêcher la divulgation non autorisée de CUI pendant la transmission, sous réserve de l'application d'autres mesures de protection physique. | Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3,13,8 | Mettez en œuvre des mécanismes de chiffrement pour empêcher la divulgation non autorisée de CUI pendant la transmission, sous réserve de l'application d'autres mesures de protection physique. | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3,13,10 | Établissez et gérez des clés de chiffrement pour le chiffrement utilisé dans les systèmes de l'organisation. | Activez la rotation des clés pour vous assurer que les clés sont pivotées une fois qu'elles ont atteint la fin de leur période de chiffrement. | |
| 3,13,10 | Établissez et gérez des clés de chiffrement pour le chiffrement utilisé dans les systèmes de l'organisation. | Pour protéger les données au repos, assurez-vous que la suppression des clés principales du client (CMK) nécessaires n'est pas planifiée dans le service de gestion des AWS clés (AWS KMS). La suppression de clés étant parfois nécessaire, cette règle peut aider à vérifier toutes les clés dont la suppression est prévue, au cas où la suppression d'une clé aurait été planifiée par inadvertance. | |
| 3,13,16 | Protégez la confidentialité des CUI au repos. | Assurez-vous que le chiffrement est activé pour vos tables Amazon DynamoDB. Comme il peut y avoir des données sensibles au repos dans ces tables, activez le chiffrement au repos pour protéger ces données. Par défaut, les tables DynamoDB sont chiffrées à l'aide AWS d'une clé principale propre au client (CMK). | |
| 3,13,16 | Protégez la confidentialité des CUI au repos. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données. | |
| 3,13,16 | Protégez la confidentialité des CUI au repos. | Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données. | |
| 3,13,16 | Protégez la confidentialité des CUI au repos. | Assurez-vous que le verrouillage est activé par défaut dans votre compartiment Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments S3, appliquez le verrouillage d'objet au repos pour protéger ces données. | |
| 3,13,16 | Protégez la confidentialité des CUI au repos. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker ordinateur portable. Étant donné que des données sensibles peuvent exister au repos dans le SageMaker bloc-notes, activez le chiffrement au repos pour protéger ces données. | |
| 3,13,16 | Protégez la confidentialité des CUI au repos. | Pour protéger les données au repos, assurez-vous que vos rubriques Amazon Simple Notification Service (Amazon SNS) nécessitent un chiffrement à l' AWS aide du Key Management Service AWS (KMS). Comme il peut y avoir des données sensibles au repos dans les messages publiés, activez le chiffrement au repos pour protéger ces données. | |
| 3,13,16 | Protégez la confidentialité des CUI au repos. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour le cache de votre environnement API Gateway. Étant donné que des données sensibles peuvent être capturées pour la méthode API, activez le chiffrement au repos pour protéger ces données. | |
| 3,13,16 | Protégez la confidentialité des CUI au repos. | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le cryptage est activé pour vos AWS CloudTrail pistes. | |
| 3,13,16 | Protégez la confidentialité des CUI au repos. | Pour protéger les données sensibles au repos, assurez-vous que le chiffrement est activé pour vos Amazon CloudWatch Log Groups. | |
| 3,13,16 | Protégez la confidentialité des CUI au repos. | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour votre Amazon Elastic File System (EFS). | |
| 3,13,16 | Protégez la confidentialité des CUI au repos. | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch OpenSearch Service (Service). | |
| 3,13,16 | Protégez la confidentialité des CUI au repos. | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). | |
| 3,13,16 | Protégez la confidentialité des CUI au repos. | Pour protéger les données au repos, assurez-vous que la suppression des clés principales du client (CMK) nécessaires n'est pas planifiée dans le service de gestion des AWS clés (AWS KMS). La suppression de clés étant parfois nécessaire, cette règle peut aider à vérifier toutes les clés dont la suppression est prévue, au cas où la suppression d'une clé aurait été planifiée par inadvertance. | |
| 3,13,16 | Protégez la confidentialité des CUI au repos. | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch Service. | |
| 3,13,16 | Protégez la confidentialité des CUI au repos. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos dans les instances Amazon RDS, activez le chiffrement au repos pour protéger ces données. | |
| 3,13,16 | Protégez la confidentialité des CUI au repos. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3,13,16 | Protégez la confidentialité des CUI au repos. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données. | |
| 3,13,16 | Protégez la confidentialité des CUI au repos. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker terminal. Étant donné que les données sensibles peuvent exister au repos sur le SageMaker terminal, activez le chiffrement au repos pour protéger ces données. | |
| 3.14.1 | Identifiez, signalez et corrigez les informations et les failles du système en temps voulu. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| 3.14.1 | Identifiez, signalez et corrigez les informations et les failles du système en temps voulu. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| 3.14.2 | Assurez la protection contre les codes malveillants aux endroits appropriés dans les systèmes de l'organisation. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| 3.14.2 | Assurez la protection contre les codes malveillants aux endroits appropriés dans les systèmes de l'organisation. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| 3.14.3 | Surveillez les alertes et les avis de sécurité du système et prenez les mesures qui s'imposent. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| 3.14.3 | Surveillez les alertes et les avis de sécurité du système et prenez les mesures qui s'imposent. | Activez cette règle pour faciliter l'identification et la documentation des vulnérabilités d'Amazon Elastic Compute Cloud (Amazon EC2). La règle vérifie si les correctifs d'instance Amazon EC2 sont conformes dans AWS Systems Manager conformément aux politiques et procédures de votre entreprise. | |
| 3.14.3 | Surveillez les alertes et les avis de sécurité du système et prenez les mesures qui s'imposent. | L'activation des mises à jour de plateforme gérées pour un environnement Amazon Elastic Beanstalk garantit l'installation des derniers correctifs, mises à jour et fonctionnalités de la plateforme disponibles pour l'environnement. La sécurisation des systèmes passe par la mise à jour de l'installation des correctifs. | |
| 3.14.3 | Surveillez les alertes et les avis de sécurité du système et prenez les mesures qui s'imposent. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| 3.14.3 | Surveillez les alertes et les avis de sécurité du système et prenez les mesures qui s'imposent. | Cette règle garantit que les clusters Amazon Redshift disposent des paramètres préférés de votre organisation. Plus précisément, qu'ils disposent de fenêtres de maintenance préférées et de périodes de conservation des instantanés automatisées pour la base de données. Cette règle vous oblige à définir le allowVersionUpgrade. Par défaut, la valeur est true. Il vous permet également de définir éventuellement le preferredMaintenanceWindow (la valeur par défaut est samedi : 16h00 - samedi : 16h30) et la automatedSnapshotRetention période (la valeur par défaut est 1). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.14.4 | Mettez à jour les mécanismes de protection contre les codes malveillants lorsque de nouvelles versions sont disponibles. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| 3.14,6 | Surveillez les systèmes de l'organisation, y compris le trafic des communications entrantes et sortantes, afin de détecter les attaques et les indicateurs d'attaques potentielles. | Assurez-vous que AWS le WAF est activé sur les Elastic Load Balancers (ELB) pour protéger les applications Web. Un WAF aide à protéger vos applications Web ou API contre les menaces Web courantes. Ces attaques web peuvent affecter la disponibilité, compromettre la sécurité ou consommer des ressources excessives dans votre environnement. | |
| 3.14,6 | Surveillez les systèmes de l'organisation, y compris le trafic des communications entrantes et sortantes, afin de détecter les attaques et les indicateurs d'attaques potentielles. | AWS Le WAF vous permet de configurer un ensemble de règles (appelé liste de contrôle d'accès Web (ACL Web)) qui autorisent, bloquent ou comptent les requêtes Web en fonction de règles et de conditions de sécurité Web personnalisables que vous définissez. Assurez-vous que votre étape Amazon API Gateway est associée à une liste ACL Web WAF pour la protéger contre les attaques malveillantes | |
| 3.14,6 | Surveillez les systèmes de l'organisation, y compris le trafic des communications entrantes et sortantes, afin de détecter les attaques et les indicateurs d'attaques potentielles. | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
| 3.14,6 | Surveillez les systèmes de l'organisation, y compris le trafic des communications entrantes et sortantes, afin de détecter les attaques et les indicateurs d'attaques potentielles. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
| 3.14,6 | Surveillez les systèmes de l'organisation, y compris le trafic des communications entrantes et sortantes, afin de détecter les attaques et les indicateurs d'attaques potentielles. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| 3.14,6 | Surveillez les systèmes de l'organisation, y compris le trafic des communications entrantes et sortantes, afin de détecter les attaques et les indicateurs d'attaques potentielles. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait. | |
| 3.14,6 | Surveillez les systèmes de l'organisation, y compris le trafic des communications entrantes et sortantes, afin de détecter les attaques et les indicateurs d'attaques potentielles. | La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs. | |
| 3.14,6 | Surveillez les systèmes de l'organisation, y compris le trafic des communications entrantes et sortantes, afin de détecter les attaques et les indicateurs d'attaques potentielles. | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
| 3.14,6 | Surveillez les systèmes de l'organisation, y compris le trafic des communications entrantes et sortantes, afin de détecter les attaques et les indicateurs d'attaques potentielles. | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les Compte AWS informations qui ont accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
| 3.14,6 | Surveillez les systèmes de l'organisation, y compris le trafic des communications entrantes et sortantes, afin de détecter les attaques et les indicateurs d'attaques potentielles. | L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. | |
| 3.14,6 | Surveillez les systèmes de l'organisation, y compris le trafic des communications entrantes et sortantes, afin de détecter les attaques et les indicateurs d'attaques potentielles. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| 3.14,6 | Surveillez les systèmes de l'organisation, y compris le trafic des communications entrantes et sortantes, afin de détecter les attaques et les indicateurs d'attaques potentielles. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.14,6 | Surveillez les systèmes de l'organisation, y compris le trafic des communications entrantes et sortantes, afin de détecter les attaques et les indicateurs d'attaques potentielles. | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
| 3.14,6 | Surveillez les systèmes de l'organisation, y compris le trafic des communications entrantes et sortantes, afin de détecter les attaques et les indicateurs d'attaques potentielles. | Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole. | |
| 3.14,7 | Identifiez les utilisations non autorisées des systèmes de l'organisation. | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| 3.14,7 | Identifiez les utilisations non autorisées des systèmes de l'organisation. | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
| 3.14,7 | Identifiez les utilisations non autorisées des systèmes de l'organisation. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
| 3.14,7 | Identifiez les utilisations non autorisées des systèmes de l'organisation. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| 3.14,7 | Identifiez les utilisations non autorisées des systèmes de l'organisation. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait. | |
| 3.14,7 | Identifiez les utilisations non autorisées des systèmes de l'organisation. | La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs. | |
| 3.14,7 | Identifiez les utilisations non autorisées des systèmes de l'organisation. | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
| 3.14,7 | Identifiez les utilisations non autorisées des systèmes de l'organisation. | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les Compte AWS informations qui ont accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
| 3.14,7 | Identifiez les utilisations non autorisées des systèmes de l'organisation. | L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. | |
| 3.14,7 | Identifiez les utilisations non autorisées des systèmes de l'organisation. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| 3.14,7 | Identifiez les utilisations non autorisées des systèmes de l'organisation. | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| 3.14,7 | Identifiez les utilisations non autorisées des systèmes de l'organisation. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.14,7 | Identifiez les utilisations non autorisées des systèmes de l'organisation. | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
| 3.14,7 | Identifiez les utilisations non autorisées des systèmes de l'organisation. | Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole. |
Modèle
Le modèle est disponible sur GitHub : Operational Best Practices for NIST 800 171
