Bonnes pratiques de fonctionnement pour PCI DSS 3.2.1 - AWS Config

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bonnes pratiques de fonctionnement pour PCI DSS 3.2.1

Les packs de conformité fournissent un cadre de conformité à usage général conçu pour vous permettre de créer des contrôles de gouvernance en matière de sécurité, d'exploitation ou d'optimisation des coûts à l'aide de AWS Config règles gérées ou personnalisées et d'actions correctives. AWS Config Les packs de conformité, en tant qu'exemples de modèle, ne sont pas conçus pour garantir pleinement la conformité à une norme de gouvernance ou de conformité spécifique. Il vous incombe de déterminer vous-même si votre utilisation des services est conforme aux exigences légales et réglementaires applicables.

Vous trouverez ci-dessous un exemple de mappage entre la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) 3.2.1 et les règles de AWS configuration gérées. Chaque AWS Config règle s'applique à une AWS ressource spécifique et concerne un ou plusieurs contrôles PCI DSS. Un contrôle PCI DSS peut être associé à plusieurs règles de configuration. Reportez-vous au tableau ci-dessous pour obtenir plus de détails et des conseils relatifs à ces mappages.

ID du contrôle Description du contrôle AWS Règle de configuration Conseils
1.2.1 Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic.

alb-desync-mode-check

Pour faciliter la protection des applications contre les vulnérabilités HTTP Desync, assurez-vous que le mode d'atténuation HTTP Desync est activé sur vos équilibreurs de charge d'application. Les problèmes de désynchronisation HTTP peuvent entraîner la dissimulation de requêtes et rendre vos applications vulnérables à l'empoisonnement de la file d'attente des requêtes ou du cache. Les modes d'atténuation de désynchronisation sont Moniteur, Défensif et Le plus strict. Le mode défensif est le mode par défaut.
1.2.1 Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic.

alb-http-drop-invalid-activé par en-tête

Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés pour ne pas prendre en compte les en-têtes http. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
1.2.1 Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic.

restricted-ssh

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance.
1.2.1 Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic.

autoscaling-launch-config-public-IP désactivé

Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs.
1.2.1 Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic.

dms-replication-not-public

Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
1.2.1 Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic.

ebs-snapshot-public-restorable-vérifier

Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
1.2.1 Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic.

ec2- instance-no-public-ip

Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
1.2.1 Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic.

elasticsearch-in-vpc-only

Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
1.2.1 Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic.

emr-master-no-public-IP

Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
1.2.1 Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic.

ec2- instances-in-vpc

Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès.
1.2.1 Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic.

lambda-function-public-access-interdit

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources.
1.2.1 Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic.

lambda-inside-vpc

Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC.
1.2.1 Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic.

netfw-stateless-rule-group-non vide

Un groupe de règles AWS Network Firewall contient des règles qui définissent la manière dont votre pare-feu traite le trafic dans votre VPC. Un groupe de règles sans état vide, lorsqu'il est présent dans une politique de pare-feu, ne gère pas le trafic.
1.2.1 Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic.

no-unrestricted-route-to-igw

Assurez-vous que les tables de routage Amazon EC2 ne disposent pas de routes illimitées vers une passerelle Internet. La suppression ou la limitation de l'accès à Internet pour les charges de travail au sein des réseaux Amazon VPC peut réduire les accès imprévus au sein de votre environnement.
1.2.1 Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic.

opensearch-in-vpc-only

Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
1.2.1 Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic.

rds-instance-public-access-vérifier

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
1.2.1 Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic.

rds-snapshots-public-prohibited

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
1.2.1 Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic.

redshift-cluster-public-access-vérifier

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
1.2.1 Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic.

restricted-common-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation.
1.2.1 Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic.

s3- account-level-public-access -blocs-périodique

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation.
1.2.1 Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic.

s3- bucket-level-public-access -interdit

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment.
1.2.1 Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic.

s3- bucket-public-read-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
1.2.1 Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic.

s3- bucket-public-write-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
1.2.1 Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic.

sagemaker-notebook-no-direct-accès à Internet

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles.
1.2.1 Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic.

ssm-document-not-public

Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes.
1.2.1 Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic.

subnet-auto-assign-public-IP désactivé

Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale.
1.2.1 Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic.

vpc-default-security-group-fermé

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de l'ensemble du trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources.
1.2.1 Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic.

vpc-sg-open-only-to-authorized-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes.
1.3 Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes.

alb-desync-mode-check

Pour faciliter la protection des applications contre les vulnérabilités HTTP Desync, assurez-vous que le mode d'atténuation HTTP Desync est activé sur vos équilibreurs de charge d'application. Les problèmes de désynchronisation HTTP peuvent entraîner la dissimulation de requêtes et rendre vos applications vulnérables à l'empoisonnement de la file d'attente des requêtes ou du cache. Les modes d'atténuation de désynchronisation sont Moniteur, Défensif et Le plus strict. Le mode défensif est le mode par défaut.
1.3 Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes.

alb-http-drop-invalid-activé par en-tête

Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés pour ne pas prendre en compte les en-têtes http. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
1.3 Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes.

restricted-ssh

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance.
1.3 Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes.

autoscaling-launch-config-public-IP désactivé

Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs.
1.3 Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes.

dms-replication-not-public

Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
1.3 Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes.

ebs-snapshot-public-restorable-vérifier

Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
1.3 Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes.

ec2- instance-no-public-ip

Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
1.3 Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes.

elasticsearch-in-vpc-only

Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
1.3 Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes.

emr-master-no-public-IP

Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
1.3 Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes.

ec2- instances-in-vpc

Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès.
1.3 Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes.

lambda-function-public-access-interdit

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources.
1.3 Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes.

lambda-inside-vpc

Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC.
1.3 Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes.

netfw-stateless-rule-group-non vide

Un groupe de règles AWS Network Firewall contient des règles qui définissent la manière dont votre pare-feu traite le trafic dans votre VPC. Un groupe de règles sans état vide, lorsqu'il est présent dans une politique de pare-feu, ne gère pas le trafic.
1.3 Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes.

no-unrestricted-route-to-igw

Assurez-vous que les tables de routage Amazon EC2 ne disposent pas de routes illimitées vers une passerelle Internet. La suppression ou la limitation de l'accès à Internet pour les charges de travail au sein des réseaux Amazon VPC peut réduire les accès imprévus au sein de votre environnement.
1.3 Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes.

opensearch-in-vpc-only

Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
1.3 Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes.

rds-instance-public-access-vérifier

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
1.3 Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes.

rds-snapshots-public-prohibited

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
1.3 Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes.

redshift-cluster-public-access-vérifier

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
1.3 Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes.

restricted-common-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation.
1.3 Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes.

s3- account-level-public-access -blocs-périodique

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation.
1.3 Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes.

s3- bucket-level-public-access -interdit

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment.
1.3 Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes.

s3- bucket-public-read-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
1.3 Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes.

s3- bucket-public-write-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
1.3 Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes.

sagemaker-notebook-no-direct-accès à Internet

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles.
1.3 Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes.

ssm-document-not-public

Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes.
1.3 Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes.

subnet-auto-assign-public-IP désactivé

Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale.
1.3 Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes.

vpc-default-security-group-fermé

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de l'ensemble du trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources.
1.3 Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes.

vpc-sg-open-only-to-authorized-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes.
1.3.1 Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés.

alb-desync-mode-check

Pour faciliter la protection des applications contre les vulnérabilités HTTP Desync, assurez-vous que le mode d'atténuation HTTP Desync est activé sur vos équilibreurs de charge d'application. Les problèmes de désynchronisation HTTP peuvent entraîner la dissimulation de requêtes et rendre vos applications vulnérables à l'empoisonnement de la file d'attente des requêtes ou du cache. Les modes d'atténuation de désynchronisation sont Moniteur, Défensif et Le plus strict. Le mode défensif est le mode par défaut.
1.3.1 Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés.

alb-http-drop-invalid-activé par en-tête

Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés pour ne pas prendre en compte les en-têtes http. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
1.3.1 Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés.

restricted-ssh

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance.
1.3.1 Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés.

autoscaling-launch-config-public-IP désactivé

Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs.
1.3.1 Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés.

dms-replication-not-public

Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
1.3.1 Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés.

ebs-snapshot-public-restorable-vérifier

Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
1.3.1 Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés.

ec2- instance-no-public-ip

Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
1.3.1 Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés.

elasticsearch-in-vpc-only

Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
1.3.1 Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés.

emr-master-no-public-IP

Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
1.3.1 Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés.

ec2- instances-in-vpc

Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès.
1.3.1 Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés.

lambda-function-public-access-interdit

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources.
1.3.1 Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés.

lambda-inside-vpc

Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC.
1.3.1 Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés.

netfw-stateless-rule-group-non vide

Un groupe de règles AWS Network Firewall contient des règles qui définissent la manière dont votre pare-feu traite le trafic dans votre VPC. Un groupe de règles sans état vide, lorsqu'il est présent dans une politique de pare-feu, ne gère pas le trafic.
1.3.1 Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés.

opensearch-in-vpc-only

Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
1.3.1 Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés.

rds-instance-public-access-vérifier

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
1.3.1 Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés.

rds-snapshots-public-prohibited

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
1.3.1 Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés.

redshift-cluster-public-access-vérifier

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
1.3.1 Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés.

restricted-common-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation.
1.3.1 Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés.

s3- account-level-public-access -blocs-périodique

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation.
1.3.1 Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés.

s3- bucket-level-public-access -interdit

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment.
1.3.1 Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés.

s3- bucket-public-read-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
1.3.1 Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés.

s3- bucket-public-write-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
1.3.1 Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés.

sagemaker-notebook-no-direct-accès à Internet

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles.
1.3.1 Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés.

ssm-document-not-public

Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes.
1.3.1 Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés.

subnet-auto-assign-public-IP désactivé

Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale.
1.3.1 Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés.

vpc-default-security-group-fermé

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de l'ensemble du trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources.
1.3.1 Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés.

vpc-sg-open-only-to-authorized-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes.
1.3.2 Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ.

alb-desync-mode-check

Pour faciliter la protection des applications contre les vulnérabilités HTTP Desync, assurez-vous que le mode d'atténuation HTTP Desync est activé sur vos équilibreurs de charge d'application. Les problèmes de désynchronisation HTTP peuvent entraîner la dissimulation de requêtes et rendre vos applications vulnérables à l'empoisonnement de la file d'attente des requêtes ou du cache. Les modes d'atténuation de désynchronisation sont Moniteur, Défensif et Le plus strict. Le mode défensif est le mode par défaut.
1.3.2 Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ.

alb-http-drop-invalid-activé par en-tête

Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés pour ne pas prendre en compte les en-têtes http. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
1.3.2 Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ.

restricted-ssh

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance.
1.3.2 Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ.

autoscaling-launch-config-public-IP désactivé

Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs.
1.3.2 Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ.

dms-replication-not-public

Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
1.3.2 Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ.

ebs-snapshot-public-restorable-vérifier

Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
1.3.2 Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ.

ec2- instance-no-public-ip

Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
1.3.2 Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ.

elasticsearch-in-vpc-only

Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
1.3.2 Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ.

emr-master-no-public-IP

Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
1.3.2 Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ.

ec2- instances-in-vpc

Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès.
1.3.2 Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ.

lambda-function-public-access-interdit

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources.
1.3.2 Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ.

lambda-inside-vpc

Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC.
1.3.2 Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ.

netfw-stateless-rule-group-non vide

Un groupe de règles AWS Network Firewall contient des règles qui définissent la manière dont votre pare-feu traite le trafic dans votre VPC. Un groupe de règles sans état vide, lorsqu'il est présent dans une politique de pare-feu, ne gère pas le trafic.
1.3.2 Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ.

opensearch-in-vpc-only

Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
1.3.2 Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ.

rds-instance-public-access-vérifier

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
1.3.2 Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ.

rds-snapshots-public-prohibited

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
1.3.2 Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ.

redshift-cluster-public-access-vérifier

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
1.3.2 Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ.

restricted-common-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation.
1.3.2 Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ.

s3- account-level-public-access -blocs-périodique

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation.
1.3.2 Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ.

s3- bucket-level-public-access -interdit

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment.
1.3.2 Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ.

s3- bucket-public-read-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
1.3.2 Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ.

s3- bucket-public-write-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
1.3.2 Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ.

sagemaker-notebook-no-direct-accès à Internet

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles.
1.3.2 Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ.

ssm-document-not-public

Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes.
1.3.2 Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ.

subnet-auto-assign-public-IP désactivé

Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale.
1.3.2 Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ.

vpc-default-security-group-fermé

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de l'ensemble du trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources.
1.3.2 Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ.

vpc-sg-open-only-to-authorized-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes.
1.3.4 N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet.

alb-desync-mode-check

Pour faciliter la protection des applications contre les vulnérabilités HTTP Desync, assurez-vous que le mode d'atténuation HTTP Desync est activé sur vos équilibreurs de charge d'application. Les problèmes de désynchronisation HTTP peuvent entraîner la dissimulation de requêtes et rendre vos applications vulnérables à l'empoisonnement de la file d'attente des requêtes ou du cache. Les modes d'atténuation de désynchronisation sont Moniteur, Défensif et Le plus strict. Le mode défensif est le mode par défaut.
1.3.4 N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet.

alb-http-drop-invalid-activé par en-tête

Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés pour ne pas prendre en compte les en-têtes http. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
1.3.4 N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet.

restricted-ssh

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance.
1.3.4 N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet.

autoscaling-launch-config-public-IP désactivé

Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs.
1.3.4 N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet.

dms-replication-not-public

Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
1.3.4 N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet.

ebs-snapshot-public-restorable-vérifier

Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
1.3.4 N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet.

ec2- instance-no-public-ip

Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
1.3.4 N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet.

elasticsearch-in-vpc-only

Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
1.3.4 N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet.

emr-master-no-public-IP

Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
1.3.4 N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet.

ec2- instances-in-vpc

Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès.
1.3.4 N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet.

lambda-function-public-access-interdit

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources.
1.3.4 N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet.

lambda-inside-vpc

Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC.
1.3.4 N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet.

netfw-stateless-rule-group-non vide

Un groupe de règles AWS Network Firewall contient des règles qui définissent la manière dont votre pare-feu traite le trafic dans votre VPC. Un groupe de règles sans état vide, lorsqu'il est présent dans une politique de pare-feu, ne gère pas le trafic.
1.3.4 N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet.

no-unrestricted-route-to-igw

Assurez-vous que les tables de routage Amazon EC2 ne disposent pas de routes illimitées vers une passerelle Internet. La suppression ou la limitation de l'accès à Internet pour les charges de travail au sein des réseaux Amazon VPC peut réduire les accès imprévus au sein de votre environnement.
1.3.4 N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet.

opensearch-in-vpc-only

Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
1.3.4 N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet.

rds-instance-public-access-vérifier

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
1.3.4 N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet.

rds-snapshots-public-prohibited

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
1.3.4 N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet.

redshift-cluster-public-access-vérifier

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
1.3.4 N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet.

restricted-common-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation.
1.3.4 N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet.

s3- account-level-public-access -blocs-périodique

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation.
1.3.4 N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet.

s3- bucket-level-public-access -interdit

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment.
1.3.4 N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet.

s3- bucket-public-read-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
1.3.4 N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet.

s3- bucket-public-write-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
1.3.4 N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet.

sagemaker-notebook-no-direct-accès à Internet

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles.
1.3.4 N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet.

ssm-document-not-public

Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes.
1.3.4 N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet.

subnet-auto-assign-public-IP désactivé

Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale.
1.3.4 N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet.

vpc-default-security-group-fermé

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de l'ensemble du trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources.
1.3.4 N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet.

vpc-sg-open-only-to-authorized-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes.
1.3.6 Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables.

restricted-ssh

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance.
1.3.6 Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables.

autoscaling-launch-config-public-IP désactivé

Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs.
1.3.6 Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables.

dms-replication-not-public

Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
1.3.6 Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables.

ebs-snapshot-public-restorable-vérifier

Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
1.3.6 Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables.

ec2- instance-no-public-ip

Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
1.3.6 Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables.

elasticsearch-in-vpc-only

Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
1.3.6 Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables.

ec2- instances-in-vpc

Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès.
1.3.6 Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables.

netfw-policy-rule-group-associé

Une politique de AWS Network Firewall définit la manière dont votre pare-feu surveille et gère le trafic dans un Amazon VPC. Vous configurez des groupes de règles avec ou sans état pour filtrer les paquets et les flux de trafic, et vous définissez la gestion du trafic par défaut.
1.3.6 Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables.

netfw-stateless-rule-group-non vide

Un groupe de règles AWS Network Firewall contient des règles qui définissent la manière dont votre pare-feu traite le trafic dans votre VPC. Un groupe de règles sans état vide, lorsqu'il est présent dans une politique de pare-feu, ne gère pas le trafic.
1.3.6 Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables.

opensearch-in-vpc-only

Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
1.3.6 Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables.

rds-instance-public-access-vérifier

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
1.3.6 Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables.

rds-snapshots-public-prohibited

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
1.3.6 Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables.

redshift-cluster-public-access-vérifier

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
1.3.6 Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables.

restricted-common-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation.
1.3.6 Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables.

s3- account-level-public-access -blocs-périodique

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation.
1.3.6 Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables.

s3- bucket-level-public-access -interdit

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment.
1.3.6 Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables.

s3- bucket-public-read-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
1.3.6 Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables.

s3- bucket-public-write-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
1.3.6 Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables.

sagemaker-notebook-no-direct-accès à Internet

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles.
1.3.6 Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables.

subnet-auto-assign-public-IP désactivé

Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale.
1.3.6 Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables.

vpc-default-security-group-fermé

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de l'ensemble du trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources.
1.3.6 Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables.

vpc-sg-open-only-to-authorized-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes.
2.1 Modifiez toujours les valeurs par défaut fournies par le fournisseur et supprimez ou désactivez les comptes par défaut inutiles avant d'installer un système sur le réseau. Cela s'applique à TOUS les mots de passe par défaut, y compris, mais sans s'y limiter, ceux utilisés par les systèmes d'exploitation, les logiciels fournissant des services de sécurité, les comptes d'applications et de systèmes, les terminaux point-of-sale (POS), les applications de paiement, les chaînes communautaires SNMP (Simple Network Management Protocol), etc.).

rds-cluster-default-admin-vérifier

Les noms d'utilisateur par défaut étant connus de tous, leur modification peut contribuer à réduire la surface d'attaque de votre ou de vos clusters de base de données Amazon Relational Database Service (Amazon RDS).
2.1 Modifiez toujours les valeurs par défaut fournies par le fournisseur et supprimez ou désactivez les comptes par défaut inutiles avant d'installer un système sur le réseau. Cela s'applique à TOUS les mots de passe par défaut, y compris, mais sans s'y limiter, ceux utilisés par les systèmes d'exploitation, les logiciels fournissant des services de sécurité, les comptes d'applications et de systèmes, les terminaux point-of-sale (POS), les applications de paiement, les chaînes communautaires SNMP (Simple Network Management Protocol), etc.).

rds-instance-default-admin-vérifier

Les noms d'utilisateur par défaut étant connus de tous, leur modification peut contribuer à réduire la surface d'attaque de votre ou de vos instances de base de données Amazon Relational Database Service (Amazon RDS).
2.1 Modifiez toujours les valeurs par défaut fournies par le fournisseur et supprimez ou désactivez les comptes par défaut inutiles avant d'installer un système sur le réseau. Cela s'applique à TOUS les mots de passe par défaut, y compris, mais sans s'y limiter, ceux utilisés par les systèmes d'exploitation, les logiciels fournissant des services de sécurité, les comptes d'applications et de systèmes, les terminaux point-of-sale (POS), les applications de paiement, les chaînes communautaires SNMP (Simple Network Management Protocol), etc.).

redshift-default-admin-check

Les noms d'utilisateur par défaut étant connus de tous, leur modification peut réduire la surface d'attaque de votre ou de vos clusters Amazon Redshift.
2.1 Modifiez toujours les valeurs par défaut fournies par le fournisseur et supprimez ou désactivez les comptes par défaut inutiles avant d'installer un système sur le réseau. Cela s'applique à TOUS les mots de passe par défaut, y compris, mais sans s'y limiter, ceux utilisés par les systèmes d'exploitation, les logiciels fournissant des services de sécurité, les comptes d'applications et de systèmes, les terminaux point-of-sale (POS), les applications de paiement, les chaînes communautaires SNMP (Simple Network Management Protocol), etc.).

redshift-default-db-name-vérifier

Les noms par défaut sont connus du public et doivent être modifiés lors de la configuration. Modifier le nom de la base de données par défaut de votre cluster Amazon Redshift peut contribuer à réduire la surface d'attaque de votre cluster Redshift.
2.1 Modifiez toujours les valeurs par défaut fournies par le fournisseur et supprimez ou désactivez les comptes par défaut inutiles avant d'installer un système sur le réseau. Cela s'applique à TOUS les mots de passe par défaut, y compris, mais sans s'y limiter, ceux utilisés par les systèmes d'exploitation, les logiciels fournissant des services de sécurité, les comptes d'applications et de systèmes, les terminaux point-of-sale (POS), les applications de paiement, les chaînes communautaires SNMP (Simple Network Management Protocol), etc.).

root-account-mfa-enabled

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS
2.1 Modifiez toujours les valeurs par défaut fournies par le fournisseur et supprimez ou désactivez les comptes par défaut inutiles avant d'installer un système sur le réseau. Cela s'applique à TOUS les mots de passe par défaut, y compris, mais sans s'y limiter, ceux utilisés par les systèmes d'exploitation, les logiciels fournissant des services de sécurité, les comptes d'applications et de systèmes, les terminaux point-of-sale (POS), les applications de paiement, les chaînes communautaires SNMP (Simple Network Management Protocol), etc.).

vpc-default-security-group-fermé

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de l'ensemble du trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources.
2.2 Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST).

restricted-ssh

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance.
2.2 Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST).

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
2.2 Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST).

access-keys-rotated

Les informations d'identification sont auditées pour les appareils, les utilisateurs et les processus autorisés en veillant à ce que les clés d'accès IAM soient alternées conformément à la politique de l'organisation. La modification régulière des clés d'accès est une bonne pratique de sécurité. Cela permet de raccourcir la période pendant laquelle une clé d'accès est active et de réduire l'impact commercial en cas de compromission des clés. Cette règle nécessite une valeur de rotation des clés d'accès (configuration par défaut : 90). La valeur réelle doit refléter les politiques de votre organisation.
2.2 Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST).

account-part-of-organizations

La gestion centralisée Comptes AWS au sein des AWS Organisations permet de garantir la conformité des comptes. L'absence de gouvernance centralisée des comptes peut entraîner des configurations de comptes incohérentes, ce qui peut exposer des ressources et des données sensibles.
2.2 Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST).

autoscaling-launch-config-public-IP désactivé

Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs.
2.2 Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST).

cloud-trail-cloud-watch-activé pour les journaux

Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
2.2 Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST).

cloud-trail-encryption-enabled

Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le cryptage est activé pour vos AWS CloudTrail pistes.
2.2 Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST).

cloud-trail-log-file-activé pour la validation

Utilisez la validation des fichiers AWS CloudTrail journaux pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonctionnalité est créée grâce à des algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection.
2.2 Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST).

cloudtrail-s3-dataevents-enabled

La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les Compte AWS informations qui ont accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
2.2 Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST).

cmk-backing-key-rotation-activé

Activez la rotation des clés pour vous assurer que les clés sont pivotées une fois qu'elles ont atteint la fin de leur période de chiffrement.
2.2 Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST).

ec2- ebs-encryption-by-default

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données.
2.2 Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST).

ec2- instance-multiple-eni-check

Cette règle vérifie si vos instances Amazon Elastic Compute Cloud (Amazon EC2) ont plusieurs ENI. Le fait d'avoir plusieurs ENI peut entraîner la création d'instances à double connexion, c'est-à-dire d'instances ayant plusieurs sous-réseaux. Cela peut ajouter à la complexité de la sécurité du réseau et introduire des chemins et des accès non intentionnels au réseau.
2.2 Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : le Center for Internet Security (CIS), l'Organisation internationale de normalisation (ISO), l'Institut de sécurité des réseaux d' SysAdmin audit (SANS), le National Institute of Standards Technology (NIST).

ec2- -check managedinstance-association-compliance-status

Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des niveaux de référence pour les niveaux de correctifs du système d'exploitation, les installations de logiciels, les configurations d'applications et d'autres informations relatives à votre environnement.
2.2 Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST).

ec2- -check managedinstance-patch-compliance-status

Activez cette règle pour faciliter l'identification et la documentation des vulnérabilités d'Amazon Elastic Compute Cloud (Amazon EC2). La règle vérifie si les correctifs d'instance Amazon EC2 sont conformes dans AWS Systems Manager conformément aux politiques et procédures de votre entreprise.
2.2 Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST).

ec2- -eni-périodique security-group-attached-to

Cette règle garantit que les groupes de sécurité sont associés à une instance Amazon Elastic Compute Cloud (Amazon EC2) ou à une ENI. Cette règle permet de surveiller les groupes de sécurité non utilisés dans l'inventaire et de gérer votre environnement.
2.2 Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST).

encrypted-volumes

Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS).
2.2 Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST).

iam-no-inline-policy-vérifier

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations.
2.2 Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST).

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
2.2 Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST).

iam-root-access-key-vérifier

L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
2.2 Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST).

iam-user-group-membership-vérifier

AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et les autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
2.2 Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST).

iam-user-no-policies-vérifier

Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs.
2.2 Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST).

iam-user-unused-credentials-vérifier

AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation.
2.2 Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST).

mfa-enabled-for-iam-accès à la console

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles.
2.2 Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST).

restricted-common-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation.
2.2 Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST).

root-account-hardware-mfa-activé

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS
2.2 Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST).

root-account-mfa-enabled

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS
2.2 Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST).

s3- account-level-public-access -blocs-périodique

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation.
2.2 Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST).

s3- bucket-logging-enabled

La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
2.2 Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST).

s3- bucket-public-read-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
2.2 Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST).

s3- bucket-public-write-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
2.2 Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : le Center for Internet Security (CIS), l'Organisation internationale de normalisation (ISO), l'Institut de sécurité des réseaux d' SysAdmin audit (SANS), le National Institute of Standards Technology (NIST).

s3- bucket-replication-enabled

La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données.
2.2 Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST).

compatible avec bucket-server-side-encryption s3

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données.
2.2 Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST).

s3- bucket-ssl-requests-only

Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
2.2 Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST).

vpc-default-security-group-fermé

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de l'ensemble du trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources.
2.2 Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST).

vpc-flow-logs-enabled

Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
2.2.2 Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système.

restricted-ssh

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance.
2.2.2 Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système.

autoscaling-launch-config-public-IP désactivé

Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs.
2.2.2 Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système.

dms-replication-not-public

Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
2.2.2 Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système.

ebs-snapshot-public-restorable-vérifier

Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
2.2.2 Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système.

ec2- instance-no-public-ip

Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
2.2.2 Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système.

emr-master-no-public-IP

Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
2.2.2 Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système.

ec2- instances-in-vpc

Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès.
2.2.2 Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système.

lambda-function-public-access-interdit

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources.
2.2.2 Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système.

lambda-inside-vpc

Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC.
2.2.2 Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système.

no-unrestricted-route-to-igw

Assurez-vous que les tables de routage Amazon EC2 ne disposent pas de routes illimitées vers une passerelle Internet. La suppression ou la limitation de l'accès à Internet pour les charges de travail au sein des réseaux Amazon VPC peut réduire les accès imprévus au sein de votre environnement.
2.2.2 Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système.

rds-instance-public-access-vérifier

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
2.2.2 Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système.

rds-snapshots-public-prohibited

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
2.2.2 Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système.

redshift-cluster-public-access-vérifier

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
2.2.2 Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système.

restricted-common-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation.
2.2.2 Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système.

s3- account-level-public-access -blocs-périodique

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation.
2.2.2 Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système.

s3- bucket-level-public-access -interdit

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment.
2.2.2 Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système.

s3- bucket-public-read-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
2.2.2 Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système.

s3- bucket-public-write-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
2.2.2 Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système.

sagemaker-notebook-no-direct-accès à Internet

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles.
2.2.2 Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système.

ssm-document-not-public

Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes.
2.2.2 Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système.

subnet-auto-assign-public-IP désactivé

Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale.
2.2.2 Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système.

vpc-default-security-group-fermé

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de l'ensemble du trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources.
2.2.2 Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système.

vpc-sg-open-only-to-authorized-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes.
2.2.3 Mettez en œuvre des fonctionnalités de sécurité supplémentaires pour tous les services, protocoles ou démons requis considérés comme non sécurisés.

alb-desync-mode-check

Pour faciliter la protection des applications contre les vulnérabilités HTTP Desync, assurez-vous que le mode d'atténuation HTTP Desync est activé sur vos équilibreurs de charge d'application. Les problèmes de désynchronisation HTTP peuvent entraîner la dissimulation de requêtes et rendre vos applications vulnérables à l'empoisonnement de la file d'attente des requêtes ou du cache. Les modes d'atténuation de désynchronisation sont Moniteur, Défensif et Le plus strict. Le mode défensif est le mode par défaut.
2.3 Chiffrez tous les accès administratifs hors console à l'aide d'un chiffrement fort.

alb-http-to-https-vérification de redirection

Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
2.3 Chiffrez tous les accès administratifs hors console à l'aide d'un chiffrement fort.

api-gw-ssl-enabled

Assurez-vous que les étapes de l'API REST Amazon API Gateway sont configurées avec des certificats SSL pour permettre aux systèmes backend d'authentifier que les demandes proviennent d'API Gateway.
2.3 Chiffrez tous les accès administratifs hors console à l'aide d'un chiffrement fort.

elb-tls-https-listeners-uniquement

Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
2.3 Chiffrez tous les accès administratifs hors console à l'aide d'un chiffrement fort.

opensearch-https-required

Étant donné que des données sensibles peuvent exister et pour protéger les données en transit, assurez-vous que le protocole HTTPS est activé pour les connexions à vos domaines Amazon OpenSearch Service.
2.3 Chiffrez tous les accès administratifs hors console à l'aide d'un chiffrement fort.

redshift-require-tls-ssl

Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
2,4 Tenez à jour un inventaire des composants système qui sont concernés par la norme PCI DSS.

ec2- -eni-périodique security-group-attached-to

Cette règle garantit que les groupes de sécurité sont associés à une instance Amazon Elastic Compute Cloud (Amazon EC2) ou à une ENI. Cette règle permet de surveiller les groupes de sécurité non utilisés dans l'inventaire et de gérer votre environnement.
2,4 Tenez à jour un inventaire des composants système qui sont concernés par la norme PCI DSS.

eip-attached

Cette règle garantit que les adresses IP Elastic (EIP) allouées à un réseau Amazon Virtual Private Cloud (Amazon VPC) sont attachées aux instances Amazon Elastic Compute Cloud (Amazon EC2) ou aux interfaces réseaux Elastic (ENI) en cours d'utilisation. Cette règle permet de surveiller les EIP non utilisées dans votre environnement.
2,4 Tenez à jour un inventaire des composants système qui sont concernés par la norme PCI DSS.

ec2- -manager instance-managed-by-systems

Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement.
2,4 Tenez à jour un inventaire des composants système qui sont concernés par la norme PCI DSS.

vpc-network-acl-unused-vérifier

Cette règle garantit que les listes de contrôle d'accès au réseau Amazon Virtual Private Cloud (VPC) sont utilisées. La surveillance des listes de contrôle d'accès réseau inutilisées peut faciliter l'inventaire et la gestion précis de votre environnement.
3.1 Limitez le stockage des données de titulaires de cartes au minimum en mettant en œuvre des politiques et des procédures de conservation et d'élimination des données qui comprennent au moins les éléments suivants pour l'ensemble du stockage des données de titulaires de cartes (CHD) : • Limitation de la quantité de stockage et de la durée de conservation des données à ce qui est nécessaire pour répondre aux exigences légales, réglementaires et/ou commerciales • Exigences de conservation spécifiques pour les données de titulaires de cartes • Procédure de suppression sécurisée des données lorsqu'elles ne sont plus nécessaires • Une procédure trimestrielle d'identification et de suppression sécurisée des données de titulaires de cartes stockées qui dépassent les durées de conservation définies.

s3- lifecycle-policy-check

Assurez-vous que les politiques de cycle de vie d'Amazon S3 sont configurées pour vous aider à définir les actions qu'Amazon S3 doit effectuer au cours de la durée de vie d'un objet (par exemple, transférer les objets vers une autre classe de stockage, les archiver ou les supprimer au bout d'une certaine période).
3.1 Limitez le stockage des données de titulaires de cartes au minimum en mettant en œuvre des politiques et des procédures de conservation et d'élimination des données qui comprennent au moins les éléments suivants pour l'ensemble du stockage des données de titulaires de cartes (CHD) : • Limitation de la quantité de stockage et de la durée de conservation des données à ce qui est nécessaire pour répondre aux exigences légales, réglementaires et/ou commerciales • Exigences de conservation spécifiques pour les données de titulaires de cartes • Procédure de suppression sécurisée des données lorsqu'elles ne sont plus nécessaires • Une procédure trimestrielle d'identification et de suppression sécurisée des données de titulaires de cartes stockées qui dépassent les durées de conservation définies.

backup-plan-min-frequency-and-min-retention-check

Pour faciliter les processus de sauvegarde des données, assurez-vous que votre plan AWS de sauvegarde est défini pour une fréquence et une rétention minimales. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Cette règle vous permet de définir les paramètres requiredFrequencyValue (Config par défaut : 1), requiredRetentionDays (Config par défaut : 35) et requiredFrequencyUnit (Config par défaut : jours). La valeur réelle doit refléter les exigences de votre organisation.
3.1 Limitez le stockage des données de titulaires de cartes au minimum en mettant en œuvre des politiques et des procédures de conservation et d'élimination des données qui comprennent au moins les éléments suivants pour l'ensemble du stockage des données de titulaires de cartes (CHD) : • Limitation de la quantité de stockage et de la durée de conservation des données à ce qui est nécessaire pour répondre aux exigences légales, réglementaires et/ou commerciales • Exigences de conservation spécifiques pour les données de titulaires de cartes • Procédure de suppression sécurisée des données lorsqu'elles ne sont plus nécessaires • Une procédure trimestrielle d'identification et de suppression sécurisée des données de titulaires de cartes stockées qui dépassent les durées de conservation définies.

backup-recovery-point-minimum-contrôle de rétention

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos points de restauration AWS Backup disposent d'une période de conservation minimale définie. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Cette règle vous permet de définir le paramètre requiredRetentionDays (par défaut de configuration : 35). La valeur réelle doit refléter les exigences de votre organisation.
3.1 Limitez le stockage des données de titulaires de cartes au minimum en mettant en œuvre des politiques et des procédures de conservation et d'élimination des données qui comprennent au moins les éléments suivants pour l'ensemble du stockage des données de titulaires de cartes (CHD) : • Limitation de la quantité de stockage et de la durée de conservation des données à ce qui est nécessaire pour répondre aux exigences légales, réglementaires et/ou commerciales • Exigences de conservation spécifiques pour les données de titulaires de cartes • Procédure de suppression sécurisée des données lorsqu'elles ne sont plus nécessaires • Une procédure trimestrielle d'identification et de suppression sécurisée des données de titulaires de cartes stockées qui dépassent les durées de conservation définies.

elasticache-redis-cluster-automatic-vérification des sauvegardes

Lorsque les sauvegardes automatiques sont activées, Amazon ElastiCache crée une sauvegarde du cluster quotidiennement. La sauvegarde peut être conservée pendant un nombre de jours défini par votre organisation. Les sauvegardes automatiques peuvent constituer une protection contre la perte de données. En cas de défaillance, vous pouvez créer un nouveau cluster, ce qui restaurera vos données à partir de la sauvegarde la plus récente.
3.4 Rendez le numéro PAN illisible partout où il est stocké (y compris sur les supports numériques portables, les supports de sauvegarde et dans les journaux) à l'aide de l'une des approches suivantes : • Hachage unidirectionnel basé sur un chiffrement fort (le hachage doit porter sur tout le numéro PAN) • Troncature (le hachage ne peut pas être utilisé pour remplacer le segment tronqué du numéro PAN) • Jetons d'index et remplissages (les remplissages doivent être stockés de manière sécurisée) • Chiffrement puissant associé aux procédures de gestion des clés associés. Remarque : il est relativement facile pour une personne malveillante de reconstituer les données originales du numéro PAN si elle a accès à la fois à la version tronquée et à la version hachée d'un numéro PAN. Lorsque des versions hachées et tronquées du même numéro PAN sont présentes dans l'environnement d'une entité, des contrôles supplémentaires doivent être mis en place pour s'assurer que les versions hachées et tronquées ne peuvent pas être mises en corrélation pour reconstituer le numéro PAN d'origine.

backup-recovery-point-encrypted

Assurez-vous que le chiffrement est activé pour vos points AWS de restauration Backup. Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données.
3.4 Rendez le numéro PAN illisible partout où il est stocké (y compris sur les supports numériques portables, les supports de sauvegarde et dans les journaux) à l'aide de l'une des approches suivantes : • Hachage unidirectionnel basé sur un chiffrement fort (le hachage doit porter sur tout le numéro PAN) • Troncature (le hachage ne peut pas être utilisé pour remplacer le segment tronqué du numéro PAN) • Jetons d'index et remplissages (les remplissages doivent être stockés de manière sécurisée) • Chiffrement puissant associé aux procédures de gestion des clés associés. Remarque : il est relativement facile pour une personne malveillante de reconstituer les données originales du numéro PAN si elle a accès à la fois à la version tronquée et à la version hachée d'un numéro PAN. Lorsque des versions hachées et tronquées du même numéro PAN sont présentes dans l'environnement d'une entité, des contrôles supplémentaires doivent être mis en place pour s'assurer que les versions hachées et tronquées ne peuvent pas être mises en corrélation pour reconstituer le numéro PAN d'origine.

cloud-trail-encryption-enabled

Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le cryptage est activé pour vos AWS CloudTrail pistes.
3.4 Rendez le numéro PAN illisible partout où il est stocké (y compris sur les supports numériques portables, les supports de sauvegarde et dans les journaux) à l'aide de l'une des approches suivantes : • Hachage unidirectionnel basé sur un chiffrement fort (le hachage doit porter sur tout le numéro PAN) • Troncature (le hachage ne peut pas être utilisé pour remplacer le segment tronqué du numéro PAN) • Jetons d'index et remplissages (les remplissages doivent être stockés de manière sécurisée) • Chiffrement puissant associé aux procédures de gestion des clés associés. Remarque : il est relativement facile pour une personne malveillante de reconstituer les données originales du numéro PAN si elle a accès à la fois à la version tronquée et à la version hachée d'un numéro PAN. Lorsque des versions hachées et tronquées du même numéro PAN sont présentes dans l'environnement d'une entité, des contrôles supplémentaires doivent être mis en place pour s'assurer que les versions hachées et tronquées ne peuvent pas être mises en corrélation pour reconstituer le numéro PAN d'origine.

cloudwatch-log-group-encrypted

Pour protéger les données sensibles au repos, assurez-vous que le chiffrement est activé pour vos Amazon CloudWatch Log Groups.
3.4 Rendez le numéro PAN illisible partout où il est stocké (y compris sur les supports numériques portables, les supports de sauvegarde et dans les journaux) à l'aide de l'une des approches suivantes : • Hachage unidirectionnel basé sur un chiffrement fort (le hachage doit porter sur tout le numéro PAN) • Troncature (le hachage ne peut pas être utilisé pour remplacer le segment tronqué du numéro PAN) • Jetons d'index et remplissages (les remplissages doivent être stockés de manière sécurisée) • Chiffrement puissant associé aux procédures de gestion des clés associés. Remarque : il est relativement facile pour une personne malveillante de reconstituer les données originales du numéro PAN si elle a accès à la fois à la version tronquée et à la version hachée d'un numéro PAN. Lorsque des versions hachées et tronquées du même numéro PAN sont présentes dans l'environnement d'une entité, des contrôles supplémentaires doivent être mis en place pour s'assurer que les versions hachées et tronquées ne peuvent pas être mises en corrélation pour reconstituer le numéro PAN d'origine.

ec2- ebs-encryption-by-default

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données.
3.4 Rendez le numéro PAN illisible partout où il est stocké (y compris sur les supports numériques portables, les supports de sauvegarde et dans les journaux) à l'aide de l'une des approches suivantes : • Hachage unidirectionnel basé sur un chiffrement fort (le hachage doit porter sur tout le numéro PAN) • Troncature (le hachage ne peut pas être utilisé pour remplacer le segment tronqué du numéro PAN) • Jetons d'index et remplissages (les remplissages doivent être stockés de manière sécurisée) • Chiffrement puissant associé aux procédures de gestion des clés associés. Remarque : il est relativement facile pour une personne malveillante de reconstituer les données originales du numéro PAN si elle a accès à la fois à la version tronquée et à la version hachée d'un numéro PAN. Lorsque des versions hachées et tronquées du même numéro PAN sont présentes dans l'environnement d'une entité, des contrôles supplémentaires doivent être mis en place pour s'assurer que les versions hachées et tronquées ne peuvent pas être mises en corrélation pour reconstituer le numéro PAN d'origine.

efs-encrypted-check

Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour votre Amazon Elastic File System (EFS).
3.4 Rendez le numéro PAN illisible partout où il est stocké (y compris sur les supports numériques portables, les supports de sauvegarde et dans les journaux) à l'aide de l'une des approches suivantes : • Hachage unidirectionnel basé sur un chiffrement fort (le hachage doit porter sur tout le numéro PAN) • Troncature (le hachage ne peut pas être utilisé pour remplacer le segment tronqué du numéro PAN) • Jetons d'index et remplissages (les remplissages doivent être stockés de manière sécurisée) • Chiffrement puissant associé aux procédures de gestion des clés associés. Remarque : il est relativement facile pour une personne malveillante de reconstituer les données originales du numéro PAN si elle a accès à la fois à la version tronquée et à la version hachée d'un numéro PAN. Lorsque des versions hachées et tronquées du même numéro PAN sont présentes dans l'environnement d'une entité, des contrôles supplémentaires doivent être mis en place pour s'assurer que les versions hachées et tronquées ne peuvent pas être mises en corrélation pour reconstituer le numéro PAN d'origine.

encrypted-volumes

Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS).
3.4 Rendez le numéro PAN illisible partout où il est stocké (y compris sur les supports numériques portables, les supports de sauvegarde et dans les journaux) à l'aide de l'une des approches suivantes : • Hachage unidirectionnel basé sur un chiffrement fort (le hachage doit porter sur tout le numéro PAN) • Troncature (le hachage ne peut pas être utilisé pour remplacer le segment tronqué du numéro PAN) • Jetons d'index et remplissages (les remplissages doivent être stockés de manière sécurisée) • Chiffrement puissant associé aux procédures de gestion des clés associés. Remarque : il est relativement facile pour une personne malveillante de reconstituer les données originales du numéro PAN si elle a accès à la fois à la version tronquée et à la version hachée d'un numéro PAN. Lorsque des versions hachées et tronquées du même numéro PAN sont présentes dans l'environnement d'une entité, des contrôles supplémentaires doivent être mis en place pour s'assurer que les versions hachées et tronquées ne peuvent pas être mises en corrélation pour reconstituer le numéro PAN d'origine.

rds-snapshot-encrypted

Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données.
3.4 Rendez le numéro PAN illisible partout où il est stocké (y compris sur les supports numériques portables, les supports de sauvegarde et dans les journaux) à l'aide de l'une des approches suivantes : • Hachage unidirectionnel basé sur un chiffrement fort (le hachage doit porter sur tout le numéro PAN) • Troncature (le hachage ne peut pas être utilisé pour remplacer le segment tronqué du numéro PAN) • Jetons d'index et remplissages (les remplissages doivent être stockés de manière sécurisée) • Chiffrement puissant associé aux procédures de gestion des clés associés. Remarque : il est relativement facile pour une personne malveillante de reconstituer les données originales du numéro PAN si elle a accès à la fois à la version tronquée et à la version hachée d'un numéro PAN. Lorsque des versions hachées et tronquées du même numéro PAN sont présentes dans l'environnement d'une entité, des contrôles supplémentaires doivent être mis en place pour s'assurer que les versions hachées et tronquées ne peuvent pas être mises en corrélation pour reconstituer le numéro PAN d'origine.

rds-storage-encrypted

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos dans les instances Amazon RDS, activez le chiffrement au repos pour protéger ces données.
3.4 Rendez le numéro PAN illisible partout où il est stocké (y compris sur les supports numériques portables, les supports de sauvegarde et dans les journaux) à l'aide de l'une des approches suivantes : • Hachage unidirectionnel basé sur un chiffrement fort (le hachage doit porter sur tout le numéro PAN) • Troncature (le hachage ne peut pas être utilisé pour remplacer le segment tronqué du numéro PAN) • Jetons d'index et remplissages (les remplissages doivent être stockés de manière sécurisée) • Chiffrement puissant associé aux procédures de gestion des clés associés. Remarque : il est relativement facile pour une personne malveillante de reconstituer les données originales du numéro PAN si elle a accès à la fois à la version tronquée et à la version hachée d'un numéro PAN. Lorsque des versions hachées et tronquées du même numéro PAN sont présentes dans l'environnement d'une entité, des contrôles supplémentaires doivent être mis en place pour s'assurer que les versions hachées et tronquées ne peuvent pas être mises en corrélation pour reconstituer le numéro PAN d'origine.

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
3.4 Rendez le numéro PAN illisible partout où il est stocké (y compris sur les supports numériques portables, les supports de sauvegarde et dans les journaux) à l'aide de l'une des approches suivantes : • Hachage unidirectionnel basé sur un chiffrement fort (le hachage doit porter sur tout le numéro PAN) • Troncature (le hachage ne peut pas être utilisé pour remplacer le segment tronqué du numéro PAN) • Jetons d'index et remplissages (les remplissages doivent être stockés de manière sécurisée) • Chiffrement puissant associé aux procédures de gestion des clés associés. Remarque : il est relativement facile pour une personne malveillante de reconstituer les données originales du numéro PAN si elle a accès à la fois à la version tronquée et à la version hachée d'un numéro PAN. Lorsque des versions hachées et tronquées du même numéro PAN sont présentes dans l'environnement d'une entité, des contrôles supplémentaires doivent être mis en place pour s'assurer que les versions hachées et tronquées ne peuvent pas être mises en corrélation pour reconstituer le numéro PAN d'origine.

compatible avec bucket-server-side-encryption s3

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données.
3.4 Rendez le numéro PAN illisible partout où il est stocké (y compris sur les supports numériques portables, les supports de sauvegarde et dans les journaux) à l'aide de l'une des approches suivantes : • Hachage unidirectionnel basé sur un chiffrement fort (le hachage doit porter sur tout le numéro PAN) • Troncature (le hachage ne peut pas être utilisé pour remplacer le segment tronqué du numéro PAN) • Jetons d'index et remplissages (les remplissages doivent être stockés de manière sécurisée) • Chiffrement puissant associé aux procédures de gestion des clés associés. Remarque : il est relativement facile pour une personne malveillante de reconstituer les données originales du numéro PAN si elle a accès à la fois à la version tronquée et à la version hachée d'un numéro PAN. Lorsque des versions hachées et tronquées du même numéro PAN sont présentes dans l'environnement d'une entité, des contrôles supplémentaires doivent être mis en place pour s'assurer que les versions hachées et tronquées ne peuvent pas être mises en corrélation pour reconstituer le numéro PAN d'origine.

s3- default-encryption-kms

Assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans un compartiment Amazon S3, activez le chiffrement au repos pour protéger ces données.
3.4 Rendez le numéro PAN illisible partout où il est stocké (y compris sur les supports numériques portables, les supports de sauvegarde et dans les journaux) à l'aide de l'une des approches suivantes : • Hachage unidirectionnel basé sur un chiffrement fort (le hachage doit porter sur tout le numéro PAN) • Troncature (le hachage ne peut pas être utilisé pour remplacer le segment tronqué du numéro PAN) • Jetons d'index et remplissages (les remplissages doivent être stockés de manière sécurisée) • Chiffrement puissant associé aux procédures de gestion des clés associés. Remarque : il est relativement facile pour une personne malveillante de reconstituer les données originales du numéro PAN si elle a accès à la fois à la version tronquée et à la version hachée d'un numéro PAN. Lorsque des versions hachées et tronquées du même numéro PAN sont présentes dans l'environnement d'une entité, des contrôles supplémentaires doivent être mis en place pour s'assurer que les versions hachées et tronquées ne peuvent pas être mises en corrélation pour reconstituer le numéro PAN d'origine.

sagemaker-endpoint-configuration-kms-configuré par clé

Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker terminal. Étant donné que les données sensibles peuvent exister au repos sur le SageMaker terminal, activez le chiffrement au repos pour protéger ces données.
3.4 Rendez le numéro PAN illisible partout où il est stocké (y compris sur les supports numériques portables, les supports de sauvegarde et dans les journaux) à l'aide de l'une des approches suivantes : • Hachage unidirectionnel basé sur un chiffrement fort (le hachage doit porter sur tout le numéro PAN) • Troncature (le hachage ne peut pas être utilisé pour remplacer le segment tronqué du numéro PAN) • Jetons d'index et remplissages (les remplissages doivent être stockés de manière sécurisée) • Chiffrement puissant associé aux procédures de gestion des clés associés. Remarque : il est relativement facile pour une personne malveillante de reconstituer les données originales du numéro PAN si elle a accès à la fois à la version tronquée et à la version hachée d'un numéro PAN. Lorsque des versions hachées et tronquées du même numéro PAN sont présentes dans l'environnement d'une entité, des contrôles supplémentaires doivent être mis en place pour s'assurer que les versions hachées et tronquées ne peuvent pas être mises en corrélation pour reconstituer le numéro PAN d'origine.

sagemaker-notebook-instance-kms-configuré par clé

Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker ordinateur portable. Étant donné que des données sensibles peuvent exister au repos dans le SageMaker bloc-notes, activez le chiffrement au repos pour protéger ces données.
3.4 Rendez le numéro PAN illisible partout où il est stocké (y compris sur les supports numériques portables, les supports de sauvegarde et dans les journaux) à l'aide de l'une des approches suivantes : • Hachage unidirectionnel basé sur un chiffrement fort (le hachage doit porter sur tout le numéro PAN) • Troncature (le hachage ne peut pas être utilisé pour remplacer le segment tronqué du numéro PAN) • Jetons d'index et remplissages (les remplissages doivent être stockés de manière sécurisée) • Chiffrement puissant associé aux procédures de gestion des clés associés. Remarque : il est relativement facile pour une personne malveillante de reconstituer les données originales du numéro PAN si elle a accès à la fois à la version tronquée et à la version hachée d'un numéro PAN. Lorsque des versions hachées et tronquées du même numéro PAN sont présentes dans l'environnement d'une entité, des contrôles supplémentaires doivent être mis en place pour s'assurer que les versions hachées et tronquées ne peuvent pas être mises en corrélation pour reconstituer le numéro PAN d'origine.

sns-encrypted-kms

Pour protéger les données au repos, assurez-vous que vos rubriques Amazon Simple Notification Service (Amazon SNS) nécessitent un chiffrement à l' AWS aide du Key Management Service AWS (KMS). Comme il peut y avoir des données sensibles au repos dans les messages publiés, activez le chiffrement au repos pour protéger ces données.
3.5.2 Limitez l'accès aux clés de chiffrement au plus petit nombre possible de dépositaires.

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms :). ReEncryptFrom Les valeurs réelles doivent refléter les politiques de votre organisation
3.5.2 Limitez l'accès aux clés de chiffrement au plus petit nombre possible de dépositaires.

iam-inline-policy-blocked-kms-actions

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms :). ReEncryptFrom Les valeurs réelles doivent refléter les politiques de votre organisation.
3.5.3 Stockez à tout moment les clés secrètes et privées utilisées pour crypter/déchiffrer les données des titulaires de carte sous l'une (ou plusieurs) des formes suivantes : • Chiffrées à l'aide d'une clé au moins aussi puissante que la clé de cryptage des données et stockée séparément de la clé de cryptage des données • Au sein d'un dispositif cryptographique sécurisé (tel qu'un module de sécurité matériel (hôte) (HSM) ou un point-of-interaction appareil approuvé par le PTS) • Au moins deux clés complètes longueur des composants clés ou des partages de clés, conformément à une méthode acceptée par l'industrie Remarque : Il n'est pas nécessaire que les clés publiques soient stockées dans l'un des ces formulaires.

s3- default-encryption-kms

Assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans un compartiment Amazon S3, activez le chiffrement au repos pour protéger ces données.
3.5.3 Stockez à tout moment les clés secrètes et privées utilisées pour crypter/déchiffrer les données des titulaires de carte sous l'une (ou plusieurs) des formes suivantes : • Chiffrées à l'aide d'une clé au moins aussi puissante que la clé de cryptage des données et stockée séparément de la clé de cryptage des données • Au sein d'un dispositif cryptographique sécurisé (tel qu'un module de sécurité matériel (hôte) (HSM) ou un point-of-interaction appareil approuvé par le PTS) • Au moins deux clés complètes longueur des composants clés ou des partages de clés, conformément à une méthode acceptée par l'industrie Remarque : Il n'est pas nécessaire que les clés publiques soient stockées dans l'un des ces formulaires.

sagemaker-endpoint-configuration-kms-configuré par clé

Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker terminal. Étant donné que les données sensibles peuvent exister au repos sur le SageMaker terminal, activez le chiffrement au repos pour protéger ces données.
3.5.3 Stockez à tout moment les clés secrètes et privées utilisées pour crypter/déchiffrer les données des titulaires de carte sous l'une (ou plusieurs) des formes suivantes : • Chiffrées à l'aide d'une clé au moins aussi puissante que la clé de cryptage des données et stockée séparément de la clé de cryptage des données • Au sein d'un dispositif cryptographique sécurisé (tel qu'un module de sécurité matériel (hôte) (HSM) ou un point-of-interaction appareil approuvé par le PTS) • Au moins deux clés complètes longueur des composants clés ou des partages de clés, conformément à une méthode acceptée par l'industrie Remarque : Il n'est pas nécessaire que les clés publiques soient stockées dans l'un des ces formulaires.

sagemaker-notebook-instance-kms-configuré par clé

Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker ordinateur portable. Étant donné que des données sensibles peuvent exister au repos dans le SageMaker bloc-notes, activez le chiffrement au repos pour protéger ces données.
3.6.4 Changements de clés de chiffrement pour les clés qui ont atteint la fin de leur période de chiffrement (par exemple, après une période de temps définie et/ou après qu'une certaine quantité de texte chiffré a été produite par une clé donnée), comme défini par le fournisseur de l'application ou le propriétaire de la clé associé, et selon les bonnes pratiques et les directives de l'industrie (par exemple, la publication spéciale 800-57 du NIST).

cmk-backing-key-rotation-activé

Activez la rotation des clés pour vous assurer que les clés sont pivotées une fois qu'elles ont atteint la fin de leur période de chiffrement.
3.6.5 Retrait ou remplacement (par exemple, archivage, destruction et/ou révocation) des clés si cela est jugé nécessaire lorsque l'intégrité de la clé a été affaiblie (par exemple, départ d'un employé ayant connaissance d'un composant de clé en clair) ou que l'on soupçonne que les clés ont été compromises. Note : Si des clés de chiffrement retirées ou remplacées doivent être conservées, ces clés doivent être archivées de manière sécurisée (par exemple, à l'aide d'une clé de chiffrement). Les clés de chiffrement archivées ne doivent être utilisées qu'à des fins de déchiffrement/vérification.

kms-cmk-not-scheduled-pour suppression

Pour protéger les données au repos, assurez-vous que la suppression des clés principales du client (CMK) nécessaires n'est pas planifiée dans le service de gestion des AWS clés (AWS KMS). La suppression de clés étant parfois nécessaire, cette règle peut aider à vérifier toutes les clés dont la suppression est prévue, au cas où la suppression d'une clé aurait été planifiée par inadvertance.
3.6.7 Prévention de la substitution non autorisée de clés de chiffrement.

kms-cmk-not-scheduled-pour suppression

Pour protéger les données au repos, assurez-vous que la suppression des clés principales du client (CMK) nécessaires n'est pas planifiée dans le service de gestion des AWS clés (AWS KMS). La suppression de clés étant parfois nécessaire, cette règle peut aider à vérifier toutes les clés dont la suppression est prévue, au cas où la suppression d'une clé aurait été planifiée par inadvertance.
4.1 Utilisez un chiffrement et des protocoles de sécurité robustes pour protéger les données sensibles de titulaires de cartes lors de leur transmission sur des réseaux ouverts et publics, notamment les suivants : • Seuls les clés et les certificats de confiance sont acceptés. • Le protocole utilisé ne prend en charge que des versions ou des configurations sécurisées. • Le niveau de chiffrement est adapté à la méthode de chiffrement utilisée. Les exemples de réseaux ouverts et publics comprennent, sans toutefois s'y limiter : • Internet • Les technologies sans fil, notamment 802.11 et Bluetooth • Les technologies cellulaires, par exemple, le système mondial de communications mobiles (GSM), l'accès multiple par répartition en code (CDMA) • Le service général de radiocommunication par paquets (GPRS) • Les communications par satellite

acm-certificate-expiration-check

Assurez-vous que l'intégrité du réseau est protégée en vous assurant que les certificats X509 sont émis par AWS ACM. Ces certificats doivent être valides et non expirés. Cette règle nécessite une valeur pour daysToExpiration (valeur des meilleures pratiques de sécuritéAWS fondamentales : 90). La valeur réelle doit refléter les politiques de votre organisation.
4.1 Utilisez un chiffrement et des protocoles de sécurité robustes pour protéger les données sensibles de titulaires de cartes lors de leur transmission sur des réseaux ouverts et publics, notamment les suivants : • Seuls les clés et les certificats de confiance sont acceptés. • Le protocole utilisé ne prend en charge que des versions ou des configurations sécurisées. • Le niveau de chiffrement est adapté à la méthode de chiffrement utilisée. Les exemples de réseaux ouverts et publics comprennent, sans toutefois s'y limiter : • Internet • Les technologies sans fil, notamment 802.11 et Bluetooth • Les technologies cellulaires, par exemple, le système mondial de communications mobiles (GSM), l'accès multiple par répartition en code (CDMA) • Le service général de radiocommunication par paquets (GPRS) • Les communications par satellite

alb-http-to-https-vérification de redirection

Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
4.1 Utilisez un chiffrement et des protocoles de sécurité robustes pour protéger les données sensibles de titulaires de cartes lors de leur transmission sur des réseaux ouverts et publics, notamment les suivants : • Seuls les clés et les certificats de confiance sont acceptés. • Le protocole utilisé ne prend en charge que des versions ou des configurations sécurisées. • Le niveau de chiffrement est adapté à la méthode de chiffrement utilisée. Les exemples de réseaux ouverts et publics comprennent, sans toutefois s'y limiter : • Internet • Les technologies sans fil, notamment 802.11 et Bluetooth • Les technologies cellulaires, par exemple, le système mondial de communications mobiles (GSM), l'accès multiple par répartition en code (CDMA) • Le service général de radiocommunication par paquets (GPRS) • Les communications par satellite

api-gw-ssl-enabled

Assurez-vous que les étapes de l'API REST Amazon API Gateway sont configurées avec des certificats SSL pour permettre aux systèmes backend d'authentifier que les demandes proviennent d'API Gateway.
4.1 Utilisez un chiffrement et des protocoles de sécurité robustes pour protéger les données sensibles de titulaires de cartes lors de leur transmission sur des réseaux ouverts et publics, notamment les suivants : • Seuls les clés et les certificats de confiance sont acceptés. • Le protocole utilisé ne prend en charge que des versions ou des configurations sécurisées. • Le niveau de chiffrement est adapté à la méthode de chiffrement utilisée. Les exemples de réseaux ouverts et publics comprennent, sans toutefois s'y limiter : • Internet • Les technologies sans fil, notamment 802.11 et Bluetooth • Les technologies cellulaires, par exemple, le système mondial de communications mobiles (GSM), l'accès multiple par répartition en code (CDMA) • Le service général de radiocommunication par paquets (GPRS) • Les communications par satellite

elasticsearch-node-to-node-vérification du chiffrement

Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
4.1 Utilisez un chiffrement et des protocoles de sécurité robustes pour protéger les données sensibles de titulaires de cartes lors de leur transmission sur des réseaux ouverts et publics, notamment les suivants : • Seuls les clés et les certificats de confiance sont acceptés. • Le protocole utilisé ne prend en charge que des versions ou des configurations sécurisées. • Le niveau de chiffrement est adapté à la méthode de chiffrement utilisée. Les exemples de réseaux ouverts et publics comprennent, sans toutefois s'y limiter : • Internet • Les technologies sans fil, notamment 802.11 et Bluetooth • Les technologies cellulaires, par exemple, le système mondial de communications mobiles (GSM), l'accès multiple par répartition en code (CDMA) • Le service général de radiocommunication par paquets (GPRS) • Les communications par satellite

elb-tls-https-listeners-uniquement

Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
4.1 Utilisez un chiffrement et des protocoles de sécurité robustes pour protéger les données sensibles de titulaires de cartes lors de leur transmission sur des réseaux ouverts et publics, notamment les suivants : • Seuls les clés et les certificats de confiance sont acceptés. • Le protocole utilisé ne prend en charge que des versions ou des configurations sécurisées. • Le niveau de chiffrement est adapté à la méthode de chiffrement utilisée. Les exemples de réseaux ouverts et publics comprennent, sans toutefois s'y limiter : • Internet • Les technologies sans fil, notamment 802.11 et Bluetooth • Les technologies cellulaires, par exemple, le système mondial de communications mobiles (GSM), l'accès multiple par répartition en code (CDMA) • Le service général de radiocommunication par paquets (GPRS) • Les communications par satellite

elbv2- acm-certificate-required

Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes.
4.1 Utilisez un chiffrement et des protocoles de sécurité robustes pour protéger les données sensibles de titulaires de cartes lors de leur transmission sur des réseaux ouverts et publics, notamment les suivants : • Seuls les clés et les certificats de confiance sont acceptés. • Le protocole utilisé ne prend en charge que des versions ou des configurations sécurisées. • Le niveau de chiffrement est adapté à la méthode de chiffrement utilisée. Les exemples de réseaux ouverts et publics comprennent, sans toutefois s'y limiter : • Internet • Les technologies sans fil, notamment 802.11 et Bluetooth • Les technologies cellulaires, par exemple, le système mondial de communications mobiles (GSM), l'accès multiple par répartition en code (CDMA) • Le service général de radiocommunication par paquets (GPRS) • Les communications par satellite

opensearch-https-required

Étant donné que des données sensibles peuvent exister et pour protéger les données en transit, assurez-vous que le protocole HTTPS est activé pour les connexions à vos domaines Amazon OpenSearch Service.
4.1 Utilisez un chiffrement et des protocoles de sécurité robustes pour protéger les données sensibles de titulaires de cartes lors de leur transmission sur des réseaux ouverts et publics, notamment les suivants : • Seuls les clés et les certificats de confiance sont acceptés. • Le protocole utilisé ne prend en charge que des versions ou des configurations sécurisées. • Le niveau de chiffrement est adapté à la méthode de chiffrement utilisée. Les exemples de réseaux ouverts et publics comprennent, sans toutefois s'y limiter : • Internet • Les technologies sans fil, notamment 802.11 et Bluetooth • Les technologies cellulaires, par exemple, le système mondial de communications mobiles (GSM), l'accès multiple par répartition en code (CDMA) • Le service général de radiocommunication par paquets (GPRS) • Les communications par satellite

opensearch-node-to-node-vérification du chiffrement

Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
4.1 Utilisez un chiffrement et des protocoles de sécurité robustes pour protéger les données sensibles de titulaires de cartes lors de leur transmission sur des réseaux ouverts et publics, notamment les suivants : • Seuls les clés et les certificats de confiance sont acceptés. • Le protocole utilisé ne prend en charge que des versions ou des configurations sécurisées. • Le niveau de chiffrement est adapté à la méthode de chiffrement utilisée. Les exemples de réseaux ouverts et publics comprennent, sans toutefois s'y limiter : • Internet • Les technologies sans fil, notamment 802.11 et Bluetooth • Les technologies cellulaires, par exemple, le système mondial de communications mobiles (GSM), l'accès multiple par répartition en code (CDMA) • Le service général de radiocommunication par paquets (GPRS) • Les communications par satellite

redshift-require-tls-ssl

Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
4.1 Utilisez un chiffrement et des protocoles de sécurité robustes pour protéger les données sensibles de titulaires de cartes lors de leur transmission sur des réseaux ouverts et publics, notamment les suivants : • Seuls les clés et les certificats de confiance sont acceptés. • Le protocole utilisé ne prend en charge que des versions ou des configurations sécurisées. • Le niveau de chiffrement est adapté à la méthode de chiffrement utilisée. Les exemples de réseaux ouverts et publics comprennent, sans toutefois s'y limiter : • Internet • Les technologies sans fil, notamment 802.11 et Bluetooth • Les technologies cellulaires, par exemple, le système mondial de communications mobiles (GSM), l'accès multiple par répartition en code (CDMA) • Le service général de radiocommunication par paquets (GPRS) • Les communications par satellite

s3- bucket-ssl-requests-only

Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
6.2 Assurez-vous que tous les composants système et logiciels sont protégés contre les vulnérabilités connues en installant les correctifs de sécurité fournis par le fournisseur. Installez les correctifs de sécurité critiques dans le mois qui suit leur publication. Remarque : Les correctifs de sécurité critiques doivent être identifiés conformément à la procédure de classement des risques définie dans l'exigence 6.1.

elastic-beanstalk-managed-updates-activé

L'activation des mises à jour de plateforme gérées pour un environnement Amazon Elastic Beanstalk garantit l'installation des derniers correctifs, mises à jour et fonctionnalités de la plateforme disponibles pour l'environnement. La sécurisation des systèmes passe par la mise à jour de l'installation des correctifs.
6.2 Assurez-vous que tous les composants système et logiciels sont protégés contre les vulnérabilités connues en installant les correctifs de sécurité fournis par le fournisseur. Installez les correctifs de sécurité critiques dans le mois qui suit leur publication. Remarque : Les correctifs de sécurité critiques doivent être identifiés conformément à la procédure de classement des risques définie dans l'exigence 6.1.

ec2- -check managedinstance-association-compliance-status

Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des niveaux de référence pour les niveaux de correctifs du système d'exploitation, les installations de logiciels, les configurations d'applications et d'autres informations relatives à votre environnement.
6.2 Assurez-vous que tous les composants système et logiciels sont protégés contre les vulnérabilités connues en installant les correctifs de sécurité fournis par le fournisseur. Installez les correctifs de sécurité critiques dans le mois qui suit leur publication. Remarque : Les correctifs de sécurité critiques doivent être identifiés conformément à la procédure de classement des risques définie dans l'exigence 6.1.

ec2- -check managedinstance-patch-compliance-status

Activez cette règle pour faciliter l'identification et la documentation des vulnérabilités d'Amazon Elastic Compute Cloud (Amazon EC2). La règle vérifie si les correctifs d'instance Amazon EC2 sont conformes dans AWS Systems Manager conformément aux politiques et procédures de votre entreprise.
6.2 Assurez-vous que tous les composants système et logiciels sont protégés contre les vulnérabilités connues en installant les correctifs de sécurité fournis par le fournisseur. Installez les correctifs de sécurité critiques dans le mois qui suit leur publication. Remarque : Les correctifs de sécurité critiques doivent être identifiés conformément à la procédure de classement des risques définie dans l'exigence 6.1.

ecs-fargate-latest-platform-version

Les mises à jour de sécurité et les correctifs sont déployés automatiquement pour vos tâches AWS Fargate. Si un problème de sécurité affectant une version de la plateforme AWS Fargate est détecté AWS , corrige la version de la plate-forme. Pour faciliter la gestion des correctifs de vos tâches Amazon Elastic Container Service (ECS) exécutant AWS Fargate, mettez à jour les tâches autonomes de vos services afin d'utiliser la version la plus récente de la plateforme.
6.2 Assurez-vous que tous les composants système et logiciels sont protégés contre les vulnérabilités connues en installant les correctifs de sécurité fournis par le fournisseur. Installez les correctifs de sécurité critiques dans le mois qui suit leur publication. Remarque : Les correctifs de sécurité critiques doivent être identifiés conformément à la procédure de classement des risques définie dans l'exigence 6.1.

rds-automatic-minor-version-activé pour la mise à niveau

Activez les mises à niveau automatiques des versions mineures sur vos instances Amazon Relational Database Service (RDS) pour vous assurer que les dernières mises à jour mineures du système de gestion de base de données relationnelle (RDBMS) sont installées, lesquelles peuvent inclure des correctifs de sécurité et des correctifs de bogues.
6.2 Assurez-vous que tous les composants système et logiciels sont protégés contre les vulnérabilités connues en installant les correctifs de sécurité fournis par le fournisseur. Installez les correctifs de sécurité critiques dans le mois qui suit leur publication. Remarque : Les correctifs de sécurité critiques doivent être identifiés conformément à la procédure de classement des risques définie dans l'exigence 6.1.

redshift-cluster-maintenancesettings-check

Cette règle garantit que les clusters Amazon Redshift disposent des paramètres préférés de votre organisation. Plus précisément, qu'ils disposent de fenêtres de maintenance préférées et de périodes de conservation des instantanés automatisées pour la base de données. Cette règle vous oblige à définir le allowVersionUpgrade. Par défaut, la valeur est true. Il vous permet également de définir éventuellement le preferredMaintenanceWindow (la valeur par défaut est samedi : 16h00 - samedi : 16h30) et la automatedSnapshotRetention période (la valeur par défaut est 1). Les valeurs réelles doivent refléter les politiques de votre organisation.
6.3.2 Passez en revue le code personnalisé avant sa diffusion à la production ou aux clients afin d'identifier toute vulnérabilité de codage potentielle (à l'aide de procédures manuelles ou automatisées), de manière à inclure au moins les éléments suivants : • Les modifications du code sont examinées par des personnes autres que l'auteur du code d'origine et par des personnes connaissant les techniques d'examen du code et les pratiques de codage sécurisé. • Les examens du code garantissent que le code est développé conformément aux directives de codage sécurisé • Les corrections appropriées sont mises en œuvre avant la publication. • Les résultats de l'examen du code sont passés en revue et approuvés par la direction avant leur publication. (Suite à la page suivante)

ecr-private-image-scanning-activé

La numérisation d'images Amazon Elastic Container Repository (ECR) permet d'identifier les vulnérabilités logicielles dans vos images de conteneur. L'activation de la numérisation d'images dans les référentiels ECR ajoute une couche de vérification de l'intégrité et de la sécurité des images stockées.
6,6 Pour les applications Web destinées au public, traitez les nouvelles menaces et vulnérabilités de manière continue et assurez-vous que ces applications sont protégées contre les attaques connues par l'une des méthodes suivantes : • Examen des applications Web destinées au public à l'aide d'outils ou de méthodes manuels ou automatisés d'évaluation des vulnérabilités des applications, au moins une fois par an et après toute modification. Remarque : Cette évaluation n'est pas identique aux analyses de vulnérabilité effectuées pour l'exigence 11.2. • Installation d'une solution technique automatisée qui détecte et empêche les attaques basées sur le web (par exemple, un pare-feu d'application web) devant les applications web orientées vers le public, afin de contrôler en permanence l'ensemble du trafic.

alb-desync-mode-check

Pour faciliter la protection des applications contre les vulnérabilités HTTP Desync, assurez-vous que le mode d'atténuation HTTP Desync est activé sur vos équilibreurs de charge d'application. Les problèmes de désynchronisation HTTP peuvent entraîner la dissimulation de requêtes et rendre vos applications vulnérables à l'empoisonnement de la file d'attente des requêtes ou du cache. Les modes d'atténuation de désynchronisation sont Moniteur, Défensif et Le plus strict. Le mode défensif est le mode par défaut.
6,6 Pour les applications Web destinées au public, traitez les nouvelles menaces et vulnérabilités de manière continue et assurez-vous que ces applications sont protégées contre les attaques connues par l'une des méthodes suivantes : • Examen des applications Web destinées au public à l'aide d'outils ou de méthodes manuels ou automatisés d'évaluation des vulnérabilités des applications, au moins une fois par an et après toute modification. Remarque : Cette évaluation n'est pas identique aux analyses de vulnérabilité effectuées pour l'exigence 11.2. • Installation d'une solution technique automatisée qui détecte et empêche les attaques basées sur le web (par exemple, un pare-feu d'application web) devant les applications web orientées vers le public, afin de contrôler en permanence l'ensemble du trafic.

alb-waf-enabled

Assurez-vous que AWS le WAF est activé sur les Elastic Load Balancers (ELB) pour protéger les applications Web. Un WAF aide à protéger vos applications Web ou API contre les menaces Web courantes. Ces attaques web peuvent affecter la disponibilité, compromettre la sécurité ou consommer des ressources excessives dans votre environnement.
6,6 Pour les applications Web destinées au public, traitez les nouvelles menaces et vulnérabilités de manière continue et assurez-vous que ces applications sont protégées contre les attaques connues par l'une des méthodes suivantes : • Examen des applications Web destinées au public à l'aide d'outils ou de méthodes manuels ou automatisés d'évaluation des vulnérabilités des applications, au moins une fois par an et après toute modification. Remarque : Cette évaluation n'est pas identique aux analyses de vulnérabilité effectuées pour l'exigence 11.2. • Installation d'une solution technique automatisée qui détecte et empêche les attaques basées sur le web (par exemple, un pare-feu d'application web) devant les applications web orientées vers le public, afin de contrôler en permanence l'ensemble du trafic.

api-gw-associated-with-guerre

AWS Le WAF vous permet de configurer un ensemble de règles (appelé liste de contrôle d'accès Web (ACL Web)) qui autorisent, bloquent ou comptent les requêtes Web en fonction de règles et de conditions de sécurité Web personnalisables que vous définissez. Assurez-vous que votre étape Amazon API Gateway est associée à une liste ACL Web WAF pour la protéger contre les attaques malveillantes
6,6 Pour les applications Web destinées au public, traitez les nouvelles menaces et vulnérabilités de manière continue et assurez-vous que ces applications sont protégées contre les attaques connues par l'une des méthodes suivantes : • Examen des applications Web destinées au public à l'aide d'outils ou de méthodes manuels ou automatisés d'évaluation des vulnérabilités des applications, au moins une fois par an et après toute modification. Remarque : Cette évaluation n'est pas identique aux analyses de vulnérabilité effectuées pour l'exigence 11.2. • Installation d'une solution technique automatisée qui détecte et empêche les attaques basées sur le web (par exemple, un pare-feu d'application web) devant les applications web orientées vers le public, afin de contrôler en permanence l'ensemble du trafic.

waf-regional-rule-not-vide

Assurez-vous que votre AWS WAF possède une règle qui n'est pas vide. Une règle sans conditions peut entraîner un comportement involontaire.
6,6 Pour les applications Web destinées au public, traitez les nouvelles menaces et vulnérabilités de manière continue et assurez-vous que ces applications sont protégées contre les attaques connues par l'une des méthodes suivantes : • Examen des applications Web destinées au public à l'aide d'outils ou de méthodes manuels ou automatisés d'évaluation des vulnérabilités des applications, au moins une fois par an et après toute modification. Remarque : Cette évaluation n'est pas identique aux analyses de vulnérabilité effectuées pour l'exigence 11.2. • Installation d'une solution technique automatisée qui détecte et empêche les attaques basées sur le web (par exemple, un pare-feu d'application web) devant les applications web orientées vers le public, afin de contrôler en permanence l'ensemble du trafic.

waf-regional-rulegroup-not-vide

Assurez-vous que votre AWS WAF possède un groupe de règles qui n'est pas vide. Un groupe de règles vide peut entraîner un comportement involontaire.
6,6 Pour les applications Web destinées au public, traitez les nouvelles menaces et vulnérabilités de manière continue et assurez-vous que ces applications sont protégées contre les attaques connues par l'une des méthodes suivantes : • Examen des applications Web destinées au public à l'aide d'outils ou de méthodes manuels ou automatisés d'évaluation des vulnérabilités des applications, au moins une fois par an et après toute modification. Remarque : Cette évaluation n'est pas identique aux analyses de vulnérabilité effectuées pour l'exigence 11.2. • Installation d'une solution technique automatisée qui détecte et empêche les attaques basées sur le web (par exemple, un pare-feu d'application web) devant les applications web orientées vers le public, afin de contrôler en permanence l'ensemble du trafic.

waf-regional-webacl-not-vide

Une ACL Web attachée à un AWS WAF peut contenir un ensemble de règles et de groupes de règles pour inspecter et contrôler les requêtes Web. Si une liste ACL Web est vide, le trafic Web n'est pas détecté ni traité par le WAF.
7.1.1 Définissez les besoins d'accès pour chaque rôle, notamment : • Les composants système et les ressources de données auxquels chaque rôle doit accéder dans le cadre de sa fonction • Le niveau de privilège requis (par exemple, utilisateur, administrateur, etc.) pour accéder aux ressources.

ecs-task-definition-nonroot-utilisateur

Pour faciliter la mise en œuvre du principe du moindre privilège, assurez-vous qu'un utilisateur non root dispose d'un accès à vos définitions de tâches Amazon Elastic Container Service (Amazon ECS).
7.1.1 Définissez les besoins d'accès pour chaque rôle, notamment : • Les composants système et les ressources de données auxquels chaque rôle doit accéder dans le cadre de sa fonction • Le niveau de privilège requis (par exemple, utilisateur, administrateur, etc.) pour accéder aux ressources.

s3- bucket-acl-prohibited

Cette règle vérifie si les listes de contrôle d'accès (ACL) sont utilisées pour contrôler l'accès aux compartiments Amazon S3. Les ACL sont des mécanismes de contrôle d'accès existants pour les compartiments Amazon S3 antérieurs à AWS Identity and Access Management (IAM). Au lieu d'utiliser des listes ACL, il est recommandé d'utiliser des politiques IAM ou des politiques de compartiment S3 pour gérer plus facilement l'accès à vos compartiments S3.
7.1.1 Définissez les besoins d'accès pour chaque rôle, notamment : • Les composants système et les ressources de données auxquels chaque rôle doit accéder dans le cadre de sa fonction • Le niveau de privilège requis (par exemple, utilisateur, administrateur, etc.) pour accéder aux ressources.

ecs-containers-nonprivileged

Pour faciliter la mise en œuvre du principe du moindre privilège, les définitions de tâches Amazon Elastic Container Service (Amazon ECS) ne doivent pas comporter de privilèges élevés. Quand ce paramètre a la valeur true, le conteneur dispose de droits élevés sur l'instance de conteneur hôte (similaire à l'utilisateur root).
7.1.1 Définissez les besoins d'accès pour chaque rôle, notamment : • Les composants système et les ressources de données auxquels chaque rôle doit accéder dans le cadre de sa fonction • Le niveau de privilège requis (par exemple, utilisateur, administrateur, etc.) pour accéder aux ressources.

ecs-containers-readonly-access

L'activation de l'accès en lecture seule aux conteneurs Amazon Elastic Container Service (ECS) permet de respecter le principe du moindre privilège. Cette option peut réduire les vecteurs d'attaque, car le système de fichiers de l'instance de conteneur ne peut être modifié que s'il dispose d'autorisations explicites de lecture et d'écriture.
7.1.1 Définissez les besoins d'accès pour chaque rôle, notamment : • Les composants système et les ressources de données auxquels chaque rôle doit accéder dans le cadre de sa fonction • Le niveau de privilège requis (par exemple, utilisateur, administrateur, etc.) pour accéder aux ressources.

efs-access-point-enforce-répertoire racine

Utiliser un répertoire racine pour un point d'accès Amazon Elastic File System (Amazon EFS) permet de restreindre l'accès aux données en veillant à ce que les utilisateurs du point d'accès ne puissent accéder qu'aux fichiers du sous-répertoire spécifié.
7.1.1 Définissez les besoins d'accès pour chaque rôle, notamment : • Les composants système et les ressources de données auxquels chaque rôle doit accéder dans le cadre de sa fonction • Le niveau de privilège requis (par exemple, utilisateur, administrateur, etc.) pour accéder aux ressources.

efs-access-point-enforce-identité de l'utilisateur

Pour faciliter la mise en œuvre du principe du moindre privilège, assurez-vous que l'application des utilisateurs est activée pour votre Amazon Elastic File System (Amazon EFS). Lorsque cette option est activée, Amazon EFS remplace les ID utilisateur et de groupe du client NFS par l'identité configurée sur le point d'accès pour toutes les opérations du système de fichiers et n'accorde l'accès qu'à cette identité d'utilisateur appliquée.
7.1.1 Définissez les besoins d'accès pour chaque rôle, notamment : • Les composants système et les ressources de données auxquels chaque rôle doit accéder dans le cadre de sa fonction • Le niveau de privilège requis (par exemple, utilisateur, administrateur, etc.) pour accéder aux ressources.

emr-kerberos-enabled

Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal.
7.1.1 Définissez les besoins d'accès pour chaque rôle, notamment : • Les composants système et les ressources de données auxquels chaque rôle doit accéder dans le cadre de sa fonction • Le niveau de privilège requis (par exemple, utilisateur, administrateur, etc.) pour accéder aux ressources.

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms :). ReEncryptFrom Les valeurs réelles doivent refléter les politiques de votre organisation
7.1.1 Définissez les besoins d'accès pour chaque rôle, notamment : • Les composants système et les ressources de données auxquels chaque rôle doit accéder dans le cadre de sa fonction • Le niveau de privilège requis (par exemple, utilisateur, administrateur, etc.) pour accéder aux ressources.

iam-group-has-users-vérifier

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège.
7.1.1 Définissez les besoins d'accès pour chaque rôle, notamment : • Les composants système et les ressources de données auxquels chaque rôle doit accéder dans le cadre de sa fonction • Le niveau de privilège requis (par exemple, utilisateur, administrateur, etc.) pour accéder aux ressources.

iam-inline-policy-blocked-kms-actions

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms :). ReEncryptFrom Les valeurs réelles doivent refléter les politiques de votre organisation.
7.1.1 Définissez les besoins d'accès pour chaque rôle, notamment : • Les composants système et les ressources de données auxquels chaque rôle doit accéder dans le cadre de sa fonction • Le niveau de privilège requis (par exemple, utilisateur, administrateur, etc.) pour accéder aux ressources.

iam-no-inline-policy-vérifier

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations.
7.1.1 Définissez les besoins d'accès pour chaque rôle, notamment : • Les composants système et les ressources de données auxquels chaque rôle doit accéder dans le cadre de sa fonction • Le niveau de privilège requis (par exemple, utilisateur, administrateur, etc.) pour accéder aux ressources.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
7.1.1 Définissez les besoins d'accès pour chaque rôle, notamment : • Les composants système et les ressources de données auxquels chaque rôle doit accéder dans le cadre de sa fonction • Le niveau de privilège requis (par exemple, utilisateur, administrateur, etc.) pour accéder aux ressources.

iam-policy-no-statements-with-full-access

Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
7.1.1 Définissez les besoins d'accès pour chaque rôle, notamment : • Les composants système et les ressources de données auxquels chaque rôle doit accéder dans le cadre de sa fonction • Le niveau de privilège requis (par exemple, utilisateur, administrateur, etc.) pour accéder aux ressources.

iam-root-access-key-vérifier

L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
7.1.1 Définissez les besoins d'accès pour chaque rôle, notamment : • Les composants système et les ressources de données auxquels chaque rôle doit accéder dans le cadre de sa fonction • Le niveau de privilège requis (par exemple, utilisateur, administrateur, etc.) pour accéder aux ressources.

iam-user-group-membership-vérifier

AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et les autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
7.1.1 Définissez les besoins d'accès pour chaque rôle, notamment : • Les composants système et les ressources de données auxquels chaque rôle doit accéder dans le cadre de sa fonction • Le niveau de privilège requis (par exemple, utilisateur, administrateur, etc.) pour accéder aux ressources.

iam-user-no-policies-vérifier

Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs.
7.1.1 Définissez les besoins d'accès pour chaque rôle, notamment : • Les composants système et les ressources de données auxquels chaque rôle doit accéder dans le cadre de sa fonction • Le niveau de privilège requis (par exemple, utilisateur, administrateur, etc.) pour accéder aux ressources.

opensearch-access-control-enabled

Assurez-vous que le contrôle d'accès détaillé est activé sur vos domaines Amazon OpenSearch Service. Le contrôle d'accès précis fournit des mécanismes d'autorisation améliorés pour obtenir un accès moins privilégié aux domaines Amazon Service. OpenSearch Il permet un contrôle d'accès au domaine basé sur les rôles, ainsi que la sécurité au niveau des index, des documents et des champs, la prise en charge des tableaux de bord de OpenSearch service, la mutualisation des tableaux de bord des services et l'authentification HTTP de base pour Service et Kibana. OpenSearch
7.1.2 Limitez l'accès aux ID d'utilisateurs privilégiés aux privilèges minimaux nécessaires à l'exercice de leurs responsabilités professionnelles.

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms :). ReEncryptFrom Les valeurs réelles doivent refléter les politiques de votre organisation
7.1.2 Limitez l'accès aux ID d'utilisateurs privilégiés aux privilèges minimaux nécessaires à l'exercice de leurs responsabilités professionnelles.

iam-group-has-users-vérifier

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège.
7.1.2 Limitez l'accès aux ID d'utilisateurs privilégiés aux privilèges minimaux nécessaires à l'exercice de leurs responsabilités professionnelles.

iam-inline-policy-blocked-kms-actions

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms :). ReEncryptFrom Les valeurs réelles doivent refléter les politiques de votre organisation.
7.1.2 Limitez l'accès aux ID d'utilisateurs privilégiés aux privilèges minimaux nécessaires à l'exercice de leurs responsabilités professionnelles.

iam-no-inline-policy-vérifier

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations.
7.1.2 Limitez l'accès aux ID d'utilisateurs privilégiés aux privilèges minimaux nécessaires à l'exercice de leurs responsabilités professionnelles.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
7.1.2 Limitez l'accès aux ID d'utilisateurs privilégiés aux privilèges minimaux nécessaires à l'exercice de leurs responsabilités professionnelles.

iam-policy-no-statements-with-full-access

Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
7.1.2 Limitez l'accès aux ID d'utilisateurs privilégiés aux privilèges minimaux nécessaires à l'exercice de leurs responsabilités professionnelles.

iam-root-access-key-vérifier

L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
7.1.2 Limitez l'accès aux ID d'utilisateurs privilégiés aux privilèges minimaux nécessaires à l'exercice de leurs responsabilités professionnelles.

iam-user-group-membership-vérifier

AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et les autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
7.1.2 Limitez l'accès aux ID d'utilisateurs privilégiés aux privilèges minimaux nécessaires à l'exercice de leurs responsabilités professionnelles.

iam-user-no-policies-vérifier

Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs.
7.2.1 Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce système de contrôle d'accès doit comprendre les éléments suivants : Couverture de tous les composants système

ecs-containers-nonprivileged

Pour faciliter la mise en œuvre du principe du moindre privilège, les définitions de tâches Amazon Elastic Container Service (Amazon ECS) ne doivent pas comporter de privilèges élevés. Quand ce paramètre a la valeur true, le conteneur dispose de droits élevés sur l'instance de conteneur hôte (similaire à l'utilisateur root).
7.2.1 Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce système de contrôle d'accès doit comprendre les éléments suivants : Couverture de tous les composants système

ecs-containers-readonly-access

L'activation de l'accès en lecture seule aux conteneurs Amazon Elastic Container Service (ECS) permet de respecter le principe du moindre privilège. Cette option peut réduire les vecteurs d'attaque, car le système de fichiers de l'instance de conteneur ne peut être modifié que s'il dispose d'autorisations explicites de lecture et d'écriture.
7.2.1 Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce système de contrôle d'accès doit comprendre les éléments suivants : Couverture de tous les composants système

efs-access-point-enforce-répertoire racine

Utiliser un répertoire racine pour un point d'accès Amazon Elastic File System (Amazon EFS) permet de restreindre l'accès aux données en veillant à ce que les utilisateurs du point d'accès ne puissent accéder qu'aux fichiers du sous-répertoire spécifié.
7.2.1 Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce système de contrôle d'accès doit comprendre les éléments suivants : Couverture de tous les composants système

efs-access-point-enforce-identité de l'utilisateur

Pour faciliter la mise en œuvre du principe du moindre privilège, assurez-vous que l'application des utilisateurs est activée pour votre Amazon Elastic File System (Amazon EFS). Lorsque cette option est activée, Amazon EFS remplace les ID utilisateur et de groupe du client NFS par l'identité configurée sur le point d'accès pour toutes les opérations du système de fichiers et n'accorde l'accès qu'à cette identité d'utilisateur appliquée.
7.2.1 Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce système de contrôle d'accès doit comprendre les éléments suivants : Couverture de tous les composants système

emr-kerberos-enabled

Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal.
7.2.1 Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce système de contrôle d'accès doit comprendre les éléments suivants : Couverture de tous les composants système

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms :). ReEncryptFrom Les valeurs réelles doivent refléter les politiques de votre organisation
7.2.1 Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce système de contrôle d'accès doit comprendre les éléments suivants : Couverture de tous les composants système

iam-group-has-users-vérifier

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège.
7.2.1 Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce système de contrôle d'accès doit comprendre les éléments suivants : Couverture de tous les composants système

iam-inline-policy-blocked-kms-actions

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms :). ReEncryptFrom Les valeurs réelles doivent refléter les politiques de votre organisation.
7.2.1 Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce système de contrôle d'accès doit comprendre les éléments suivants : Couverture de tous les composants système

iam-no-inline-policy-vérifier

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations.
7.2.1 Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce système de contrôle d'accès doit comprendre les éléments suivants : Couverture de tous les composants système

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
7.2.1 Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce système de contrôle d'accès doit comprendre les éléments suivants : Couverture de tous les composants système

iam-policy-no-statements-with-full-access

Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
7.2.1 Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce système de contrôle d'accès doit comprendre les éléments suivants : Couverture de tous les composants système

iam-root-access-key-vérifier

L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
7.2.1 Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce système de contrôle d'accès doit comprendre les éléments suivants : Couverture de tous les composants système

iam-user-group-membership-vérifier

AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et les autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
7.2.1 Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce système de contrôle d'accès doit comprendre les éléments suivants : Couverture de tous les composants système

iam-user-no-policies-vérifier

Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs.
7.2.1 Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce système de contrôle d'accès doit comprendre les éléments suivants : Couverture de tous les composants système

opensearch-access-control-enabled

Assurez-vous que le contrôle d'accès détaillé est activé sur vos domaines Amazon OpenSearch Service. Le contrôle d'accès précis fournit des mécanismes d'autorisation améliorés pour obtenir un accès moins privilégié aux domaines Amazon Service. OpenSearch Il permet un contrôle d'accès au domaine basé sur les rôles, ainsi que la sécurité au niveau des index, des documents et des champs, la prise en charge des tableaux de bord de OpenSearch service, la mutualisation des tableaux de bord des services et l'authentification HTTP de base pour Service et Kibana. OpenSearch
7.2.2 Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce ou ces systèmes de contrôle des accès doivent comprendre les éléments suivants : Attribution de privilèges aux personnes en fonction de leur classification professionnelle et de leur fonction.

ecs-containers-nonprivileged

Pour faciliter la mise en œuvre du principe du moindre privilège, les définitions de tâches Amazon Elastic Container Service (Amazon ECS) ne doivent pas comporter de privilèges élevés. Quand ce paramètre a la valeur true, le conteneur dispose de droits élevés sur l'instance de conteneur hôte (similaire à l'utilisateur root).
7.2.2 Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce ou ces systèmes de contrôle des accès doivent comprendre les éléments suivants : Attribution de privilèges aux personnes en fonction de leur classification professionnelle et de leur fonction.

ecs-containers-readonly-access

L'activation de l'accès en lecture seule aux conteneurs Amazon Elastic Container Service (ECS) permet de respecter le principe du moindre privilège. Cette option peut réduire les vecteurs d'attaque, car le système de fichiers de l'instance de conteneur ne peut être modifié que s'il dispose d'autorisations explicites de lecture et d'écriture.
7.2.2 Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce ou ces systèmes de contrôle des accès doivent comprendre les éléments suivants : Attribution de privilèges aux personnes en fonction de leur classification professionnelle et de leur fonction.

efs-access-point-enforce-répertoire racine

Utiliser un répertoire racine pour un point d'accès Amazon Elastic File System (Amazon EFS) permet de restreindre l'accès aux données en veillant à ce que les utilisateurs du point d'accès ne puissent accéder qu'aux fichiers du sous-répertoire spécifié.
7.2.2 Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce ou ces systèmes de contrôle des accès doivent comprendre les éléments suivants : Attribution de privilèges aux personnes en fonction de leur classification professionnelle et de leur fonction.

efs-access-point-enforce-identité de l'utilisateur

Pour faciliter la mise en œuvre du principe du moindre privilège, assurez-vous que l'application des utilisateurs est activée pour votre Amazon Elastic File System (Amazon EFS). Lorsque cette option est activée, Amazon EFS remplace les ID utilisateur et de groupe du client NFS par l'identité configurée sur le point d'accès pour toutes les opérations du système de fichiers et n'accorde l'accès qu'à cette identité d'utilisateur appliquée.
7.2.2 Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce ou ces systèmes de contrôle des accès doivent comprendre les éléments suivants : Attribution de privilèges aux personnes en fonction de leur classification professionnelle et de leur fonction.

emr-kerberos-enabled

Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal.
7.2.2 Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce ou ces systèmes de contrôle des accès doivent comprendre les éléments suivants : Attribution de privilèges aux personnes en fonction de leur classification professionnelle et de leur fonction.

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms :). ReEncryptFrom Les valeurs réelles doivent refléter les politiques de votre organisation
7.2.2 Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce ou ces systèmes de contrôle des accès doivent comprendre les éléments suivants : Attribution de privilèges aux personnes en fonction de leur classification professionnelle et de leur fonction.

iam-group-has-users-vérifier

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège.
7.2.2 Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce ou ces systèmes de contrôle des accès doivent comprendre les éléments suivants : Attribution de privilèges aux personnes en fonction de leur classification professionnelle et de leur fonction.

iam-inline-policy-blocked-kms-actions

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms :). ReEncryptFrom Les valeurs réelles doivent refléter les politiques de votre organisation.
7.2.2 Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce ou ces systèmes de contrôle des accès doivent comprendre les éléments suivants : Attribution de privilèges aux personnes en fonction de leur classification professionnelle et de leur fonction.

iam-no-inline-policy-vérifier

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations.
7.2.2 Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce ou ces systèmes de contrôle des accès doivent comprendre les éléments suivants : Attribution de privilèges aux personnes en fonction de leur classification professionnelle et de leur fonction.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
7.2.2 Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce ou ces systèmes de contrôle des accès doivent comprendre les éléments suivants : Attribution de privilèges aux personnes en fonction de leur classification professionnelle et de leur fonction.

iam-policy-no-statements-with-full-access

Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
7.2.2 Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce ou ces systèmes de contrôle des accès doivent comprendre les éléments suivants : Attribution de privilèges aux personnes en fonction de leur classification professionnelle et de leur fonction.

iam-root-access-key-vérifier

L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
7.2.2 Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce ou ces systèmes de contrôle des accès doivent comprendre les éléments suivants : Attribution de privilèges aux personnes en fonction de leur classification professionnelle et de leur fonction.

iam-user-group-membership-vérifier

AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et les autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
7.2.2 Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce ou ces systèmes de contrôle des accès doivent comprendre les éléments suivants : Attribution de privilèges aux personnes en fonction de leur classification professionnelle et de leur fonction.

iam-user-no-policies-vérifier

Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs.
7.2.2 Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce ou ces systèmes de contrôle des accès doivent comprendre les éléments suivants : Attribution de privilèges aux personnes en fonction de leur classification professionnelle et de leur fonction.

opensearch-access-control-enabled

Assurez-vous que le contrôle d'accès détaillé est activé sur vos domaines Amazon OpenSearch Service. Le contrôle d'accès précis fournit des mécanismes d'autorisation améliorés pour obtenir un accès moins privilégié aux domaines Amazon Service. OpenSearch Il permet un contrôle d'accès au domaine basé sur les rôles, ainsi que la sécurité au niveau des index, des documents et des champs, la prise en charge des tableaux de bord de OpenSearch service, la mutualisation des tableaux de bord des services et l'authentification HTTP de base pour Service et Kibana. OpenSearch
7.2.3 Paramètre « Tout refuser » par défaut.

s3- bucket-acl-prohibited

Cette règle vérifie si les listes de contrôle d'accès (ACL) sont utilisées pour contrôler l'accès aux compartiments Amazon S3. Les ACL sont des mécanismes de contrôle d'accès existants pour les compartiments Amazon S3 antérieurs à AWS Identity and Access Management (IAM). Au lieu d'utiliser des listes ACL, il est recommandé d'utiliser des politiques IAM ou des politiques de compartiment S3 pour gérer plus facilement l'accès à vos compartiments S3.
8.1.1 Attribuez à tous les utilisateurs un ID unique avant de leur permettre d'accéder aux composants système ou aux données de titulaires de cartes.

iam-root-access-key-vérifier

L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
8.1.4 Supprimez/désactivez les comptes utilisateurs inactifs dans un délai de 90 jours.

iam-user-unused-credentials-vérifier

AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation.
8.2.1 À l'aide d'un chiffrement fort, rendez illisibles toutes les informations d'authentification (comme les mots de passe/expressions) pendant la transmission et le stockage sur tous les composants système.

codebuild-project-environment-privileged-vérifier

Pour faciliter la mise en œuvre du principe du moindre privilège, assurez-vous que le mode privilégié n'est pas activé dans votre environnement de CodeBuild projet Amazon. Ce paramètre doit être désactivé pour empêcher tout accès imprévu aux API Docker ainsi qu'au matériel sous-jacent du conteneur.
8.2.1 À l'aide d'un chiffrement fort, rendez illisibles toutes les informations d'authentification (comme les mots de passe/expressions) pendant la transmission et le stockage sur tous les composants système.

ecs-no-environment-secrets

La pratique exemplaire en matière de sécurité consiste à transmettre les informations sensibles aux conteneurs sous la forme de variables d'environnement. Vous pouvez injecter des données en toute sécurité dans vos conteneurs Amazon Elastic Container Service (ECS) en référençant les valeurs stockées dans AWS le Parameter Store ou dans le AWS Secrets Manager dans la définition de conteneur d'une définition de tâche Amazon ECS. Vous pouvez ensuite exposer vos informations sensibles en tant que variables d'environnement ou dans la configuration de journal d'un conteneur.
8.2.1 À l'aide d'un chiffrement fort, rendez illisibles toutes les informations d'authentification (comme les mots de passe/expressions) pendant la transmission et le stockage sur tous les composants système.

alb-http-to-https-vérification de redirection

Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
8.2.1 À l'aide d'un chiffrement fort, rendez illisibles toutes les informations d'authentification (comme les mots de passe/expressions) pendant la transmission et le stockage sur tous les composants système.

api-gw-ssl-enabled

Assurez-vous que les étapes de l'API REST Amazon API Gateway sont configurées avec des certificats SSL pour permettre aux systèmes backend d'authentifier que les demandes proviennent d'API Gateway.
8.2.1 À l'aide d'un chiffrement fort, rendez illisibles toutes les informations d'authentification (comme les mots de passe/expressions) pendant la transmission et le stockage sur tous les composants système.

ec2- ebs-encryption-by-default

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données.
8.2.1 À l'aide d'un chiffrement fort, rendez illisibles toutes les informations d'authentification (comme les mots de passe/expressions) pendant la transmission et le stockage sur tous les composants système.

efs-encrypted-check

Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour votre Amazon Elastic File System (EFS).
8.2.1 À l'aide d'un chiffrement fort, rendez illisibles toutes les informations d'authentification (comme les mots de passe/expressions) pendant la transmission et le stockage sur tous les composants système.

elasticsearch-encrypted-at-rest

Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch OpenSearch Service (Service).
8.2.1 À l'aide d'un chiffrement fort, rendez illisibles toutes les informations d'authentification (comme les mots de passe/expressions) pendant la transmission et le stockage sur tous les composants système.

elb-tls-https-listeners-uniquement

Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
8.2.1 À l'aide d'un chiffrement fort, rendez illisibles toutes les informations d'authentification (comme les mots de passe/expressions) pendant la transmission et le stockage sur tous les composants système.

encrypted-volumes

Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS).
8.2.1 À l'aide d'un chiffrement fort, rendez illisibles toutes les informations d'authentification (comme les mots de passe/expressions) pendant la transmission et le stockage sur tous les composants système.

opensearch-encrypted-at-rest

Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch Service.
8.2.1 À l'aide d'un chiffrement fort, rendez illisibles toutes les informations d'authentification (comme les mots de passe/expressions) pendant la transmission et le stockage sur tous les composants système.

rds-snapshot-encrypted

Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données.
8.2.1 À l'aide d'un chiffrement fort, rendez illisibles toutes les informations d'authentification (comme les mots de passe/expressions) pendant la transmission et le stockage sur tous les composants système.

rds-storage-encrypted

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos dans les instances Amazon RDS, activez le chiffrement au repos pour protéger ces données.
8.2.1 À l'aide d'un chiffrement fort, rendez illisibles toutes les informations d'authentification (comme les mots de passe/expressions) pendant la transmission et le stockage sur tous les composants système.

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
8.2.1 À l'aide d'un chiffrement fort, rendez illisibles toutes les informations d'authentification (comme les mots de passe/expressions) pendant la transmission et le stockage sur tous les composants système.

compatible avec bucket-server-side-encryption s3

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données.
8.2.1 À l'aide d'un chiffrement fort, rendez illisibles toutes les informations d'authentification (comme les mots de passe/expressions) pendant la transmission et le stockage sur tous les composants système.

s3- bucket-ssl-requests-only

Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
8.2.1 À l'aide d'un chiffrement fort, rendez illisibles toutes les informations d'authentification (comme les mots de passe/expressions) pendant la transmission et le stockage sur tous les composants système.

s3- default-encryption-kms

Assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans un compartiment Amazon S3, activez le chiffrement au repos pour protéger ces données.
8.2.1 À l'aide d'un chiffrement fort, rendez illisibles toutes les informations d'authentification (comme les mots de passe/expressions) pendant la transmission et le stockage sur tous les composants système.

sagemaker-endpoint-configuration-kms-configuré par clé

Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker terminal. Étant donné que les données sensibles peuvent exister au repos sur le SageMaker terminal, activez le chiffrement au repos pour protéger ces données.
8.2.1 À l'aide d'un chiffrement fort, rendez illisibles toutes les informations d'authentification (comme les mots de passe/expressions) pendant la transmission et le stockage sur tous les composants système.

sagemaker-notebook-instance-kms-configuré par clé

Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker ordinateur portable. Étant donné que des données sensibles peuvent exister au repos dans le SageMaker bloc-notes, activez le chiffrement au repos pour protéger ces données.
8.2.1 À l'aide d'un chiffrement fort, rendez illisibles toutes les informations d'authentification (comme les mots de passe/expressions) pendant la transmission et le stockage sur tous les composants système.

secretsmanager-using-cmk

Pour protéger les données au repos, assurez-vous que le chiffrement avec le AWS Key Management Service (AWS KMS) est activé pour les AWS secrets de Secrets Manager. Comme il peut y avoir des données sensibles au repos dans les secrets de Secrets Manager, activez le chiffrement au repos pour protéger ces données.
8.2.1 À l'aide d'un chiffrement fort, rendez illisibles toutes les informations d'authentification (comme les mots de passe/expressions) pendant la transmission et le stockage sur tous les composants système.

sns-encrypted-kms

Pour protéger les données au repos, assurez-vous que vos rubriques Amazon Simple Notification Service (Amazon SNS) nécessitent un chiffrement à l' AWS aide du Key Management Service AWS (KMS). Comme il peut y avoir des données sensibles au repos dans les messages publiés, activez le chiffrement au repos pour protéger ces données.
8.2.3 Les mots de passe/phrases secrètes doivent satisfaire les critères suivants : • Avoir une longueur minimale d'au moins sept caractères. • Contenir à la fois des caractères numériques et alphabétiques. À défaut, les mots de passe/phrases secrètes doivent être d'une complexité et d'une force au moins équivalentes aux paramètres spécifiés ci-dessus.

iam-password-policy

Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (PCI DSS par défaut : false), RequireLowercaseCharacters (PCI DSS par défaut : true), (PCI DSS par défaut : false), RequireSymbols (PCI DSS par défaut : true), RequireNumbers (PCI DSS par défaut : 7), MinimumPasswordLength (PCI DSS par défaut : 4) et PasswordReusePrevention MaxPasswordAge (PCI DSS par défaut : 90) pour votre politique de mot de passe IAM. Les valeurs réelles doivent refléter les politiques de votre organisation.
8.2.4 Modifiez les mots de passe/phrases de passe des utilisateurs au moins tous les 90 jours.

access-keys-rotated

Les informations d'identification sont auditées pour les appareils, les utilisateurs et les processus autorisés en veillant à ce que les clés d'accès IAM soient alternées conformément à la politique de l'organisation. La modification régulière des clés d'accès est une bonne pratique de sécurité. Cela permet de raccourcir la période pendant laquelle une clé d'accès est active et de réduire l'impact commercial en cas de compromission des clés. Cette règle nécessite une valeur de rotation des clés d'accès (configuration par défaut : 90). La valeur réelle doit refléter les politiques de votre organisation.
8.2.4 Modifiez les mots de passe/phrases de passe des utilisateurs au moins tous les 90 jours.

iam-password-policy

Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (PCI DSS par défaut : false), RequireLowercaseCharacters (PCI DSS par défaut : true), (PCI DSS par défaut : false), RequireSymbols (PCI DSS par défaut : true), RequireNumbers (PCI DSS par défaut : 7), MinimumPasswordLength (PCI DSS par défaut : 4) et PasswordReusePrevention MaxPasswordAge (PCI DSS par défaut : 90) pour votre politique de mot de passe IAM. Les valeurs réelles doivent refléter les politiques de votre organisation.
8.2.4 Modifiez les mots de passe/phrases de passe des utilisateurs au moins tous les 90 jours.

secretsmanager-rotation-enabled-check

Cette règle garantit que la rotation AWS des secrets de Secrets Manager est activée. La rotation régulière des secrets peut raccourcir la période pendant laquelle un secret est actif et potentiellement réduire l'impact commercial s'il est compromis.
8.2.5 Ne permettez pas à une personne de soumettre un nouveau mot de passe/une nouvelle phrase secrète qui soit identique aux quatre derniers mots de passe/phrases secrètes qu'elle a utilisés.

iam-password-policy

Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (PCI DSS par défaut : false), RequireLowercaseCharacters (PCI DSS par défaut : true), (PCI DSS par défaut : false), RequireSymbols (PCI DSS par défaut : true), RequireNumbers (PCI DSS par défaut : 7), MinimumPasswordLength (PCI DSS par défaut : 4) et PasswordReusePrevention MaxPasswordAge (PCI DSS par défaut : 90) pour votre politique de mot de passe IAM. Les valeurs réelles doivent refléter les politiques de votre organisation.
8.3.1 Incorporez l'authentification multifacteur pour tous les accès autres que via la console dans le CDE pour le personnel disposant d'un accès administrateur.

iam-user-mfa-enabled

Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs.
8.3.1 Incorporez l'authentification multifacteur pour tous les accès autres que via la console dans le CDE pour le personnel disposant d'un accès administrateur.

mfa-enabled-for-iam-accès à la console

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles.
8.3.1 Incorporez l'authentification multifacteur pour tous les accès autres que via la console dans le CDE pour le personnel disposant d'un accès administrateur.

root-account-hardware-mfa-activé

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS
8.3.1 Incorporez l'authentification multifacteur pour tous les accès autres que via la console dans le CDE pour le personnel disposant d'un accès administrateur.

root-account-mfa-enabled

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS
8.3.2 Incorporez l'authentification multifacteur pour tous les accès réseau distants (utilisateur et administrateur, y compris l'accès tiers pour le support ou la maintenance) provenant de l'extérieur du réseau de l'entité.

iam-user-mfa-enabled

Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs.
8.3.2 Incorporez l'authentification multifacteur pour tous les accès réseau distants (utilisateur et administrateur, y compris l'accès tiers pour le support ou la maintenance) provenant de l'extérieur du réseau de l'entité.

mfa-enabled-for-iam-accès à la console

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles.
8.3.2 Incorporez l'authentification multifacteur pour tous les accès réseau distants (utilisateur et administrateur, y compris l'accès tiers pour le support ou la maintenance) provenant de l'extérieur du réseau de l'entité.

root-account-hardware-mfa-activé

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS
8.3.2 Incorporez l'authentification multifacteur pour tous les accès réseau distants (utilisateur et administrateur, y compris l'accès tiers pour le support ou la maintenance) provenant de l'extérieur du réseau de l'entité.

root-account-mfa-enabled

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS
10.1 Mettez en œuvre des journaux de piste d'audit pour relier tous les accès aux composants système à chaque utilisateur.

api-gw-execution-logging-activé

La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs.
10.1 Mettez en œuvre des journaux de piste d'audit pour relier tous les accès aux composants système à chaque utilisateur.

elb-logging-enabled

L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur.
10.1 Mettez en œuvre des journaux de piste d'audit pour relier tous les accès aux composants système à chaque utilisateur.

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
10.1 Mettez en œuvre des journaux de piste d'audit pour relier tous les accès aux composants système à chaque utilisateur.

s3- bucket-logging-enabled

La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
10.1 Mettez en œuvre des journaux de piste d'audit pour relier tous les accès aux composants système à chaque utilisateur.

vpc-flow-logs-enabled

Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
10.1 Mettez en œuvre des journaux de piste d'audit pour relier tous les accès aux composants système à chaque utilisateur.

wafv2-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait.
10.1 Mettez en œuvre des journaux de piste d'audit pour relier tous les accès aux composants système à chaque utilisateur.

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
10.1 Mettez en œuvre des journaux de piste d'audit pour relier tous les accès aux composants système à chaque utilisateur.

cloudtrail-s3-dataevents-enabled

La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les Compte AWS informations qui ont accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
10.1 Mettez en œuvre des journaux de piste d'audit pour relier tous les accès aux composants système à chaque utilisateur.

codebuild-project-logging-enabled

Assurez-vous que la journalisation AWS CodeBuild du projet est activée afin que les journaux de sortie de votre build soient envoyés à Amazon CloudWatch ou à Amazon Simple Storage Service (Amazon S3). Les journaux de résultats de génération fournissent des informations détaillées sur votre projet de génération.
10.1 Mettez en œuvre des journaux de piste d'audit pour relier tous les accès aux composants système à chaque utilisateur.

elasticsearch-logs-to-cloudwatch

Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
10.1 Mettez en œuvre des journaux de piste d'audit pour relier tous les accès aux composants système à chaque utilisateur.

opensearch-audit-logging-enabled

Assurez-vous que la journalisation des audits est activée sur vos domaines Amazon OpenSearch Service. La journalisation des audits vous permet de suivre l'activité des utilisateurs sur vos OpenSearch domaines, notamment les réussites et les échecs d'authentification, les demandes OpenSearch, les modifications d'index et les requêtes de recherche entrantes.
10.1 Mettez en œuvre des journaux de piste d'audit pour relier tous les accès aux composants système à chaque utilisateur.

opensearch-logs-to-cloudwatch

Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
10.1 Mettez en œuvre des journaux de piste d'audit pour relier tous les accès aux composants système à chaque utilisateur.

rds-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
10.1 Mettez en œuvre des journaux de piste d'audit pour relier tous les accès aux composants système à chaque utilisateur.

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
10.2.1 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tous les accès d'utilisateurs individuels aux données de titulaires de cartes

api-gw-execution-logging-activé

La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs.
10.2.1 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tous les accès d'utilisateurs individuels aux données de titulaires de cartes

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
10.2.1 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tous les accès d'utilisateurs individuels aux données de titulaires de cartes

s3- bucket-logging-enabled

La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
10.2.1 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tous les accès d'utilisateurs individuels aux données de titulaires de cartes

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
10.2.1 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tous les accès d'utilisateurs individuels aux données de titulaires de cartes

cloudtrail-s3-dataevents-enabled

La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les Compte AWS informations qui ont accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
10.2.1 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tous les accès d'utilisateurs individuels aux données de titulaires de cartes

codebuild-project-logging-enabled

Assurez-vous que la journalisation AWS CodeBuild du projet est activée afin que les journaux de sortie de votre build soient envoyés à Amazon CloudWatch ou à Amazon Simple Storage Service (Amazon S3). Les journaux de résultats de génération fournissent des informations détaillées sur votre projet de génération.
10.2.1 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tous les accès d'utilisateurs individuels aux données de titulaires de cartes

elasticsearch-logs-to-cloudwatch

Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
10.2.1 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tous les accès d'utilisateurs individuels aux données de titulaires de cartes

opensearch-audit-logging-enabled

Assurez-vous que la journalisation des audits est activée sur vos domaines Amazon OpenSearch Service. La journalisation des audits vous permet de suivre l'activité des utilisateurs sur vos OpenSearch domaines, notamment les réussites et les échecs d'authentification, les demandes OpenSearch, les modifications d'index et les requêtes de recherche entrantes.
10.2.1 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tous les accès d'utilisateurs individuels aux données de titulaires de cartes

opensearch-logs-to-cloudwatch

Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
10.2.1 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tous les accès d'utilisateurs individuels aux données de titulaires de cartes

rds-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
10.2.1 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tous les accès d'utilisateurs individuels aux données de titulaires de cartes

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
10.2.2 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Toutes les actions effectuées par une personne disposant de privilèges racine ou administrateur

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
10.2.2 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Toutes les actions effectuées par une personne disposant de privilèges racine ou administrateur

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
10.2.2 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Toutes les actions effectuées par une personne disposant de privilèges racine ou administrateur

codebuild-project-logging-enabled

Assurez-vous que la journalisation AWS CodeBuild du projet est activée afin que les journaux de sortie de votre build soient envoyés à Amazon CloudWatch ou à Amazon Simple Storage Service (Amazon S3). Les journaux de résultats de génération fournissent des informations détaillées sur votre projet de génération.
10.2.2 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Toutes les actions effectuées par une personne disposant de privilèges racine ou administrateur

elasticsearch-logs-to-cloudwatch

Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
10.2.2 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Toutes les actions effectuées par une personne disposant de privilèges racine ou administrateur

opensearch-audit-logging-enabled

Assurez-vous que la journalisation des audits est activée sur vos domaines Amazon OpenSearch Service. La journalisation des audits vous permet de suivre l'activité des utilisateurs sur vos OpenSearch domaines, notamment les réussites et les échecs d'authentification, les demandes OpenSearch, les modifications d'index et les requêtes de recherche entrantes.
10.2.2 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Toutes les actions effectuées par une personne disposant de privilèges racine ou administrateur

opensearch-logs-to-cloudwatch

Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
10.2.2 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Toutes les actions effectuées par une personne disposant de privilèges racine ou administrateur

rds-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
10.2.2 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Toutes les actions effectuées par une personne disposant de privilèges racine ou administrateur

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
10.2.3 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Accès à toutes les pistes d'audit

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
10.2.3 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Accès à toutes les pistes d'audit

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
10.2.3 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Accès à toutes les pistes d'audit

cloudtrail-s3-dataevents-enabled

La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les Compte AWS informations qui ont accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
10.2.3 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Accès à toutes les pistes d'audit

codebuild-project-logging-enabled

Assurez-vous que la journalisation AWS CodeBuild du projet est activée afin que les journaux de sortie de votre build soient envoyés à Amazon CloudWatch ou à Amazon Simple Storage Service (Amazon S3). Les journaux de résultats de génération fournissent des informations détaillées sur votre projet de génération.
10.2.3 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Accès à toutes les pistes d'audit

elasticsearch-logs-to-cloudwatch

Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
10.2.3 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Accès à toutes les pistes d'audit

opensearch-audit-logging-enabled

Assurez-vous que la journalisation des audits est activée sur vos domaines Amazon OpenSearch Service. La journalisation des audits vous permet de suivre l'activité des utilisateurs sur vos OpenSearch domaines, notamment les réussites et les échecs d'authentification, les demandes OpenSearch, les modifications d'index et les requêtes de recherche entrantes.
10.2.3 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Accès à toutes les pistes d'audit

opensearch-logs-to-cloudwatch

Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
10.2.3 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Accès à toutes les pistes d'audit

rds-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
10.2.3 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Accès à toutes les pistes d'audit

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
10.2.3 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Accès à toutes les pistes d'audit

s3- bucket-logging-enabled

La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
10.2.4 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tentatives d'accès logique non valide

api-gw-execution-logging-activé

La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs.
10.2.4 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tentatives d'accès logique non valide

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
10.2.4 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tentatives d'accès logique non valide

s3- bucket-logging-enabled

La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
10.2.4 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tentatives d'accès logique non valide

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
10.2.4 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tentatives d'accès logique non valide

cloudtrail-s3-dataevents-enabled

La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les Compte AWS informations qui ont accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
10.2.4 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tentatives d'accès logique non valide

codebuild-project-logging-enabled

Assurez-vous que la journalisation AWS CodeBuild du projet est activée afin que les journaux de sortie de votre build soient envoyés à Amazon CloudWatch ou à Amazon Simple Storage Service (Amazon S3). Les journaux de résultats de génération fournissent des informations détaillées sur votre projet de génération.
10.2.4 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tentatives d'accès logique non valide

elasticsearch-logs-to-cloudwatch

Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
10.2.4 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tentatives d'accès logique non valide

opensearch-audit-logging-enabled

Assurez-vous que la journalisation des audits est activée sur vos domaines Amazon OpenSearch Service. La journalisation des audits vous permet de suivre l'activité des utilisateurs sur vos OpenSearch domaines, notamment les réussites et les échecs d'authentification, les demandes OpenSearch, les modifications d'index et les requêtes de recherche entrantes.
10.2.4 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tentatives d'accès logique non valide

opensearch-logs-to-cloudwatch

Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
10.2.4 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tentatives d'accès logique non valide

rds-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
10.2.4 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tentatives d'accès logique non valide

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
10.2.5 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Utilisation et modification des mécanismes d'identification et d'authentification, y compris, mais sans s'y limiter, la création de nouveaux comptes et l'élévation des privilèges, ainsi que tous les ajouts, suppressions ou modifications effectués sur des comptes dotés de privilèges racine ou administrateur

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
10.2.5 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Utilisation et modification des mécanismes d'identification et d'authentification, y compris, mais sans s'y limiter, la création de nouveaux comptes et l'élévation des privilèges, ainsi que tous les ajouts, suppressions ou modifications effectués sur des comptes dotés de privilèges racine ou administrateur

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
10.2.5 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Utilisation et modification des mécanismes d'identification et d'authentification, y compris, mais sans s'y limiter, la création de nouveaux comptes et l'élévation des privilèges, ainsi que tous les ajouts, suppressions ou modifications effectués sur des comptes dotés de privilèges racine ou administrateur

codebuild-project-logging-enabled

Assurez-vous que la journalisation AWS CodeBuild du projet est activée afin que les journaux de sortie de votre build soient envoyés à Amazon CloudWatch ou à Amazon Simple Storage Service (Amazon S3). Les journaux de résultats de génération fournissent des informations détaillées sur votre projet de génération.
10.2.5 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Utilisation et modification des mécanismes d'identification et d'authentification, y compris, mais sans s'y limiter, la création de nouveaux comptes et l'élévation des privilèges, ainsi que tous les ajouts, suppressions ou modifications effectués sur des comptes dotés de privilèges racine ou administrateur

elasticsearch-logs-to-cloudwatch

Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
10.2.5 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Utilisation et modification des mécanismes d'identification et d'authentification, y compris, mais sans s'y limiter, la création de nouveaux comptes et l'élévation des privilèges, ainsi que tous les ajouts, suppressions ou modifications effectués sur des comptes dotés de privilèges racine ou administrateur

opensearch-audit-logging-enabled

Assurez-vous que la journalisation des audits est activée sur vos domaines Amazon OpenSearch Service. La journalisation des audits vous permet de suivre l'activité des utilisateurs sur vos OpenSearch domaines, notamment les réussites et les échecs d'authentification, les demandes OpenSearch, les modifications d'index et les requêtes de recherche entrantes.
10.2.5 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Utilisation et modification des mécanismes d'identification et d'authentification, y compris, mais sans s'y limiter, la création de nouveaux comptes et l'élévation des privilèges, ainsi que tous les ajouts, suppressions ou modifications effectués sur des comptes dotés de privilèges racine ou administrateur

opensearch-logs-to-cloudwatch

Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
10.2.5 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Utilisation et modification des mécanismes d'identification et d'authentification, y compris, mais sans s'y limiter, la création de nouveaux comptes et l'élévation des privilèges, ainsi que tous les ajouts, suppressions ou modifications effectués sur des comptes dotés de privilèges racine ou administrateur

rds-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
10.2.5 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Utilisation et modification des mécanismes d'identification et d'authentification, y compris, mais sans s'y limiter, la création de nouveaux comptes et l'élévation des privilèges, ainsi que tous les ajouts, suppressions ou modifications effectués sur des comptes dotés de privilèges racine ou administrateur

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
10.2.6 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Initialisation, arrêt ou pause des journaux d'audit

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
10.2.6 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Initialisation, arrêt ou pause des journaux d'audit

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
10.2.6 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Initialisation, arrêt ou pause des journaux d'audit

rds-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
10.2.7 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Création et suppression d'objets au niveau du système

api-gw-execution-logging-activé

La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs.
10.2.7 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Création et suppression d'objets au niveau du système

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
10.2.7 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Création et suppression d'objets au niveau du système

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
10.2.7 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Création et suppression d'objets au niveau du système

elasticsearch-logs-to-cloudwatch

Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
10.2.7 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Création et suppression d'objets au niveau du système

opensearch-audit-logging-enabled

Assurez-vous que la journalisation des audits est activée sur vos domaines Amazon OpenSearch Service. La journalisation des audits vous permet de suivre l'activité des utilisateurs sur vos OpenSearch domaines, notamment les réussites et les échecs d'authentification, les demandes OpenSearch, les modifications d'index et les requêtes de recherche entrantes.
10.2.7 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Création et suppression d'objets au niveau du système

opensearch-logs-to-cloudwatch

Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
10.2.7 Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Création et suppression d'objets au niveau du système

rds-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
10.3.1 Enregistrez au moins les entrées de journaux de piste d'audit suivantes pour tous les composants système pour chaque événement : Identification de l'utilisateur

api-gw-execution-logging-activé

La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs.
10.3.1 Enregistrez au moins les entrées de journaux de piste d'audit suivantes pour tous les composants système pour chaque événement : Identification de l'utilisateur

elb-logging-enabled

L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur.
10.3.1 Enregistrez au moins les entrées de journaux de piste d'audit suivantes pour tous les composants système pour chaque événement : Identification de l'utilisateur

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
10.3.1 Enregistrez au moins les entrées de journaux de piste d'audit suivantes pour tous les composants système pour chaque événement : Identification de l'utilisateur

s3- bucket-logging-enabled

La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
10.3.1 Enregistrez au moins les entrées de journaux de piste d'audit suivantes pour tous les composants système pour chaque événement : Identification de l'utilisateur

vpc-flow-logs-enabled

Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
10.3.1 Enregistrez au moins les entrées de journaux de piste d'audit suivantes pour tous les composants système pour chaque événement : Identification de l'utilisateur

wafv2-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait.
10.3.1 Enregistrez au moins les entrées de journaux de piste d'audit suivantes pour tous les composants système pour chaque événement : Identification de l'utilisateur

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
10.3.1 Enregistrez au moins les entrées de journaux de piste d'audit suivantes pour tous les composants système pour chaque événement : Identification de l'utilisateur

cloudtrail-s3-dataevents-enabled

La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les Compte AWS informations qui ont accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
10.3.1 Enregistrez au moins les entrées de journaux de piste d'audit suivantes pour tous les composants système pour chaque événement : Identification de l'utilisateur

codebuild-project-logging-enabled

Assurez-vous que la journalisation AWS CodeBuild du projet est activée afin que les journaux de sortie de votre build soient envoyés à Amazon CloudWatch ou à Amazon Simple Storage Service (Amazon S3). Les journaux de résultats de génération fournissent des informations détaillées sur votre projet de génération.
10.3.1 Enregistrez au moins les entrées de journaux de piste d'audit suivantes pour tous les composants système pour chaque événement : Identification de l'utilisateur

elasticsearch-logs-to-cloudwatch

Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
10.3.1 Enregistrez au moins les entrées de journaux de piste d'audit suivantes pour tous les composants système pour chaque événement : Identification de l'utilisateur

opensearch-audit-logging-enabled

Assurez-vous que la journalisation des audits est activée sur vos domaines Amazon OpenSearch Service. La journalisation des audits vous permet de suivre l'activité des utilisateurs sur vos OpenSearch domaines, notamment les réussites et les échecs d'authentification, les demandes OpenSearch, les modifications d'index et les requêtes de recherche entrantes.
10.3.1 Enregistrez au moins les entrées de journaux de piste d'audit suivantes pour tous les composants système pour chaque événement : Identification de l'utilisateur

opensearch-logs-to-cloudwatch

Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
10.3.1 Enregistrez au moins les entrées de journaux de piste d'audit suivantes pour tous les composants système pour chaque événement : Identification de l'utilisateur

rds-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
10.3.1 Enregistrez au moins les entrées de journaux de piste d'audit suivantes pour tous les composants système pour chaque événement : Identification de l'utilisateur

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
10.5 Sécurisez les pistes d'audit afin qu'elles ne puissent pas être modifiées.

cloud-trail-encryption-enabled

Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le cryptage est activé pour vos AWS CloudTrail pistes.
10.5 Sécurisez les pistes d'audit afin qu'elles ne puissent pas être modifiées.

compatible avec bucket-server-side-encryption s3

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données.
10.5 Sécurisez les pistes d'audit afin qu'elles ne puissent pas être modifiées.

s3- default-encryption-kms

Assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans un compartiment Amazon S3, activez le chiffrement au repos pour protéger ces données.
10.5.2 Protégez les fichiers journaux de piste d'audit contre les modifications non autorisées.

cloud-trail-encryption-enabled

Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le cryptage est activé pour vos AWS CloudTrail pistes.
10.5.2 Protégez les fichiers journaux de piste d'audit contre les modifications non autorisées.

compatible avec bucket-server-side-encryption s3

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données.
10.5.2 Protégez les fichiers journaux de piste d'audit contre les modifications non autorisées.

s3- default-encryption-kms

Assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans un compartiment Amazon S3, activez le chiffrement au repos pour protéger ces données.
10.5.3 Sauvegardez rapidement les fichiers de journaux de piste d'audit sur un serveur de journaux centralisé ou un support difficile à modifier.

s3- lifecycle-policy-check

Assurez-vous que les politiques de cycle de vie d'Amazon S3 sont configurées pour vous aider à définir les actions qu'Amazon S3 doit effectuer au cours de la durée de vie d'un objet (par exemple, transférer les objets vers une autre classe de stockage, les archiver ou les supprimer au bout d'une certaine période).
10.5.3 Sauvegardez rapidement les fichiers de journaux de piste d'audit sur un serveur de journaux centralisé ou un support difficile à modifier.

backup-plan-min-frequency-and-min-retention-check

Pour faciliter les processus de sauvegarde des données, assurez-vous que votre plan AWS de sauvegarde est défini pour une fréquence et une rétention minimales. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Cette règle vous permet de définir les paramètres requiredFrequencyValue (Config par défaut : 1), requiredRetentionDays (Config par défaut : 35) et requiredFrequencyUnit (Config par défaut : jours). La valeur réelle doit refléter les exigences de votre organisation.
10.5.3 Sauvegardez rapidement les fichiers de journaux de piste d'audit sur un serveur de journaux centralisé ou un support difficile à modifier.

cloud-trail-cloud-watch-activé pour les journaux

Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
10.5.3 Sauvegardez rapidement les fichiers de journaux de piste d'audit sur un serveur de journaux centralisé ou un support difficile à modifier.

s3- bucket-replication-enabled

La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données.
10.5.5 Utilisez un logiciel de surveillance de l'intégrité des fichiers ou de détection des modifications sur les journaux pour s'assurer que les données de journal existantes ne peuvent pas être modifiées sans générer d'alertes (bien que l'ajout de nouvelles données ne doive pas provoquer d'alerte).

cloud-trail-log-file-activé pour la validation

Utilisez la validation des fichiers AWS CloudTrail journaux pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonctionnalité est créée grâce à des algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection.
10.5.5 Utilisez un logiciel de surveillance de l'intégrité des fichiers ou de détection des modifications sur les journaux pour s'assurer que les données de journal existantes ne peuvent pas être modifiées sans générer d'alertes (bien que l'ajout de nouvelles données ne doive pas provoquer d'alerte).

s3- bucket-versioning-enabled

La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative.
10.7 Conservez l'historique des pistes d'audit pendant au moins un an, avec un minimum de trois mois immédiatement disponibles pour analyse (par exemple, en ligne, archivé ou restaurable à partir d'une sauvegarde).

s3- lifecycle-policy-check

Assurez-vous que les politiques de cycle de vie d'Amazon S3 sont configurées pour vous aider à définir les actions qu'Amazon S3 doit effectuer au cours de la durée de vie d'un objet (par exemple, transférer les objets vers une autre classe de stockage, les archiver ou les supprimer au bout d'une certaine période).
10.7 Conservez l'historique des pistes d'audit pendant au moins un an, avec un minimum de trois mois immédiatement disponibles pour analyse (par exemple, en ligne, archivé ou restaurable à partir d'une sauvegarde).

backup-plan-min-frequency-and-min-retention-check

Pour faciliter les processus de sauvegarde des données, assurez-vous que votre plan AWS de sauvegarde est défini pour une fréquence et une rétention minimales. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Cette règle vous permet de définir les paramètres requiredFrequencyValue (Config par défaut : 1), requiredRetentionDays (Config par défaut : 35) et requiredFrequencyUnit (Config par défaut : jours). La valeur réelle doit refléter les exigences de votre organisation.
11.2.3 Effectuez des analyses internes et externes et, le cas échéant, de nouvelles analyses après toute modification importante. Les analyses doivent être effectuées par du personnel qualifié.

ecr-private-image-scanning-activé

La numérisation d'images Amazon Elastic Container Repository (ECR) permet d'identifier les vulnérabilités logicielles dans vos images de conteneur. L'activation de la numérisation d'images dans les référentiels ECR ajoute une couche de vérification de l'intégrité et de la sécurité des images stockées.
11.4 Utilisez des techniques de détection et/ou de prévention des intrusions pour détecter et/ou empêcher les intrusions dans le réseau. Surveillez l'ensemble du trafic au périmètre de l'environnement des données de titulaires de cartes ainsi qu'aux points critiques de l'environnement des données de titulaires de cartes, et alertez le personnel en cas de suspicion de compromission. Maintenez à jour tous les moteurs, bases de référence et signatures de détection et de prévention des intrusions.

guardduty-enabled-centralized

Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
11.4 Utilisez des techniques de détection et/ou de prévention des intrusions pour détecter et/ou empêcher les intrusions dans le réseau. Surveillez l'ensemble du trafic au périmètre de l'environnement des données de titulaires de cartes ainsi qu'aux points critiques de l'environnement des données de titulaires de cartes, et alertez le personnel en cas de suspicion de compromission. Maintenez à jour tous les moteurs, bases de référence et signatures de détection et de prévention des intrusions.

netfw-policy-rule-group-associé

Une politique de AWS Network Firewall définit la manière dont votre pare-feu surveille et gère le trafic dans un Amazon VPC. Vous configurez des groupes de règles avec ou sans état pour filtrer les paquets et les flux de trafic, et vous définissez la gestion du trafic par défaut.
11.5 Déployez un mécanisme de détection des modifications (par exemple, des outils de surveillance de l'intégrité des fichiers) pour alerter le personnel en cas de modification non autorisée (y compris les ajouts et les suppressions) des fichiers système, des fichiers de configuration ou des fichiers de contenu critiques ; et configurez le logiciel pour qu'il effectue des comparaisons des fichiers critiques au moins une fois par semaine.

cloud-trail-log-file-activé pour la validation

Utilisez la validation des fichiers AWS CloudTrail journaux pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonctionnalité est créée grâce à des algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection.
11.5 Déployez un mécanisme de détection des modifications (par exemple, des outils de surveillance de l'intégrité des fichiers) pour alerter le personnel en cas de modification non autorisée (y compris les ajouts et les suppressions) des fichiers système, des fichiers de configuration ou des fichiers de contenu critiques ; et configurez le logiciel pour qu'il effectue des comparaisons des fichiers critiques au moins une fois par semaine.

securityhub-enabled

AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS

Modèle

Le modèle est disponible sur GitHub : Operational Best Practices for PCI DSS 3.2.1.