Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Bonnes pratiques de fonctionnement pour PCI DSS 3.2.1
Les packs de conformité fournissent un cadre de conformité à usage général conçu pour vous permettre de créer des contrôles de gouvernance en matière de sécurité, d'exploitation ou d'optimisation des coûts à l'aide de AWS Config règles gérées ou personnalisées et d'actions correctives. AWS Config Les packs de conformité, en tant qu'exemples de modèle, ne sont pas conçus pour garantir pleinement la conformité à une norme de gouvernance ou de conformité spécifique. Il vous incombe de déterminer vous-même si votre utilisation des services est conforme aux exigences légales et réglementaires applicables.
Vous trouverez ci-dessous un exemple de mappage entre la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) 3.2.1 et les règles de AWS configuration gérées. Chaque AWS Config règle s'applique à une AWS ressource spécifique et concerne un ou plusieurs contrôles PCI DSS. Un contrôle PCI DSS peut être associé à plusieurs règles de configuration. Reportez-vous au tableau ci-dessous pour obtenir plus de détails et des conseils relatifs à ces mappages.
ID du contrôle | Description du contrôle | AWS Règle de configuration | Conseils |
---|---|---|---|
1.2.1 | Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic. | Pour faciliter la protection des applications contre les vulnérabilités HTTP Desync, assurez-vous que le mode d'atténuation HTTP Desync est activé sur vos équilibreurs de charge d'application. Les problèmes de désynchronisation HTTP peuvent entraîner la dissimulation de requêtes et rendre vos applications vulnérables à l'empoisonnement de la file d'attente des requêtes ou du cache. Les modes d'atténuation de désynchronisation sont Moniteur, Défensif et Le plus strict. Le mode défensif est le mode par défaut. | |
1.2.1 | Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic. | Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés pour ne pas prendre en compte les en-têtes http. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
1.2.1 | Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
1.2.1 | Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic. | Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs. | |
1.2.1 | Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic. | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
1.2.1 | Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic. | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
1.2.1 | Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic. | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
1.2.1 | Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
1.2.1 | Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic. | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
1.2.1 | Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic. | Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès. | |
1.2.1 | Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
1.2.1 | Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic. | Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC. | |
1.2.1 | Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic. | Un groupe de règles AWS Network Firewall contient des règles qui définissent la manière dont votre pare-feu traite le trafic dans votre VPC. Un groupe de règles sans état vide, lorsqu'il est présent dans une politique de pare-feu, ne gère pas le trafic. | |
1.2.1 | Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic. | Assurez-vous que les tables de routage Amazon EC2 ne disposent pas de routes illimitées vers une passerelle Internet. La suppression ou la limitation de l'accès à Internet pour les charges de travail au sein des réseaux Amazon VPC peut réduire les accès imprévus au sein de votre environnement. | |
1.2.1 | Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
1.2.1 | Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
1.2.1 | Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
1.2.1 | Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
1.2.1 | Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
1.2.1 | Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
1.2.1 | Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
1.2.1 | Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
1.2.1 | Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
1.2.1 | Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
1.2.1 | Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic. | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
1.2.1 | Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic. | Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale. | |
1.2.1 | Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de l'ensemble du trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
1.2.1 | Restreignez le trafic entrant et sortant au strict nécessaire pour l'environnement des données de titulaires de cartes, et en particulier refusez tout autre trafic. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
1.3 | Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes. | Pour faciliter la protection des applications contre les vulnérabilités HTTP Desync, assurez-vous que le mode d'atténuation HTTP Desync est activé sur vos équilibreurs de charge d'application. Les problèmes de désynchronisation HTTP peuvent entraîner la dissimulation de requêtes et rendre vos applications vulnérables à l'empoisonnement de la file d'attente des requêtes ou du cache. Les modes d'atténuation de désynchronisation sont Moniteur, Défensif et Le plus strict. Le mode défensif est le mode par défaut. | |
1.3 | Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes. | Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés pour ne pas prendre en compte les en-têtes http. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
1.3 | Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
1.3 | Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes. | Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs. | |
1.3 | Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes. | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
1.3 | Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes. | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
1.3 | Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes. | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
1.3 | Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
1.3 | Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes. | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
1.3 | Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes. | Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès. | |
1.3 | Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
1.3 | Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes. | Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC. | |
1.3 | Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes. | Un groupe de règles AWS Network Firewall contient des règles qui définissent la manière dont votre pare-feu traite le trafic dans votre VPC. Un groupe de règles sans état vide, lorsqu'il est présent dans une politique de pare-feu, ne gère pas le trafic. | |
1.3 | Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes. | Assurez-vous que les tables de routage Amazon EC2 ne disposent pas de routes illimitées vers une passerelle Internet. La suppression ou la limitation de l'accès à Internet pour les charges de travail au sein des réseaux Amazon VPC peut réduire les accès imprévus au sein de votre environnement. | |
1.3 | Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
1.3 | Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
1.3 | Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
1.3 | Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
1.3 | Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
1.3 | Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
1.3 | Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
1.3 | Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
1.3 | Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
1.3 | Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
1.3 | Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes. | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
1.3 | Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes. | Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale. | |
1.3 | Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de l'ensemble du trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
1.3 | Interdisez l'accès public direct entre Internet et tout composant système dans l'environnement des données de titulaires de cartes. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
1.3.1 | Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés. | Pour faciliter la protection des applications contre les vulnérabilités HTTP Desync, assurez-vous que le mode d'atténuation HTTP Desync est activé sur vos équilibreurs de charge d'application. Les problèmes de désynchronisation HTTP peuvent entraîner la dissimulation de requêtes et rendre vos applications vulnérables à l'empoisonnement de la file d'attente des requêtes ou du cache. Les modes d'atténuation de désynchronisation sont Moniteur, Défensif et Le plus strict. Le mode défensif est le mode par défaut. | |
1.3.1 | Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés. | Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés pour ne pas prendre en compte les en-têtes http. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
1.3.1 | Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
1.3.1 | Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés. | Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs. | |
1.3.1 | Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés. | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
1.3.1 | Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés. | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
1.3.1 | Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés. | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
1.3.1 | Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
1.3.1 | Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés. | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
1.3.1 | Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés. | Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès. | |
1.3.1 | Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
1.3.1 | Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés. | Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC. | |
1.3.1 | Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés. | Un groupe de règles AWS Network Firewall contient des règles qui définissent la manière dont votre pare-feu traite le trafic dans votre VPC. Un groupe de règles sans état vide, lorsqu'il est présent dans une politique de pare-feu, ne gère pas le trafic. | |
1.3.1 | Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
1.3.1 | Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
1.3.1 | Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
1.3.1 | Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
1.3.1 | Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
1.3.1 | Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
1.3.1 | Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
1.3.1 | Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
1.3.1 | Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
1.3.1 | Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
1.3.1 | Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés. | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
1.3.1 | Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés. | Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale. | |
1.3.1 | Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de l'ensemble du trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
1.3.1 | Implémentez une zone DMZ pour limiter le trafic entrant aux seuls composants système qui fournissent des services, protocoles et ports accessibles publiquement autorisés. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
1.3.2 | Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ. | Pour faciliter la protection des applications contre les vulnérabilités HTTP Desync, assurez-vous que le mode d'atténuation HTTP Desync est activé sur vos équilibreurs de charge d'application. Les problèmes de désynchronisation HTTP peuvent entraîner la dissimulation de requêtes et rendre vos applications vulnérables à l'empoisonnement de la file d'attente des requêtes ou du cache. Les modes d'atténuation de désynchronisation sont Moniteur, Défensif et Le plus strict. Le mode défensif est le mode par défaut. | |
1.3.2 | Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ. | Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés pour ne pas prendre en compte les en-têtes http. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
1.3.2 | Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
1.3.2 | Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ. | Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs. | |
1.3.2 | Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ. | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
1.3.2 | Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ. | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
1.3.2 | Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ. | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
1.3.2 | Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
1.3.2 | Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ. | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
1.3.2 | Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ. | Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès. | |
1.3.2 | Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
1.3.2 | Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ. | Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC. | |
1.3.2 | Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ. | Un groupe de règles AWS Network Firewall contient des règles qui définissent la manière dont votre pare-feu traite le trafic dans votre VPC. Un groupe de règles sans état vide, lorsqu'il est présent dans une politique de pare-feu, ne gère pas le trafic. | |
1.3.2 | Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
1.3.2 | Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
1.3.2 | Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
1.3.2 | Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
1.3.2 | Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
1.3.2 | Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
1.3.2 | Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
1.3.2 | Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
1.3.2 | Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
1.3.2 | Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
1.3.2 | Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ. | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
1.3.2 | Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ. | Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale. | |
1.3.2 | Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de l'ensemble du trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
1.3.2 | Limitez le trafic Internet entrant aux adresses IP comprises dans la zone DMZ. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
1.3.4 | N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet. | Pour faciliter la protection des applications contre les vulnérabilités HTTP Desync, assurez-vous que le mode d'atténuation HTTP Desync est activé sur vos équilibreurs de charge d'application. Les problèmes de désynchronisation HTTP peuvent entraîner la dissimulation de requêtes et rendre vos applications vulnérables à l'empoisonnement de la file d'attente des requêtes ou du cache. Les modes d'atténuation de désynchronisation sont Moniteur, Défensif et Le plus strict. Le mode défensif est le mode par défaut. | |
1.3.4 | N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet. | Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés pour ne pas prendre en compte les en-têtes http. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
1.3.4 | N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
1.3.4 | N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet. | Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs. | |
1.3.4 | N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet. | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
1.3.4 | N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet. | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
1.3.4 | N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet. | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
1.3.4 | N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
1.3.4 | N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet. | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
1.3.4 | N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet. | Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès. | |
1.3.4 | N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
1.3.4 | N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet. | Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC. | |
1.3.4 | N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet. | Un groupe de règles AWS Network Firewall contient des règles qui définissent la manière dont votre pare-feu traite le trafic dans votre VPC. Un groupe de règles sans état vide, lorsqu'il est présent dans une politique de pare-feu, ne gère pas le trafic. | |
1.3.4 | N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet. | Assurez-vous que les tables de routage Amazon EC2 ne disposent pas de routes illimitées vers une passerelle Internet. La suppression ou la limitation de l'accès à Internet pour les charges de travail au sein des réseaux Amazon VPC peut réduire les accès imprévus au sein de votre environnement. | |
1.3.4 | N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
1.3.4 | N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
1.3.4 | N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
1.3.4 | N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
1.3.4 | N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
1.3.4 | N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
1.3.4 | N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
1.3.4 | N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
1.3.4 | N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
1.3.4 | N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
1.3.4 | N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet. | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
1.3.4 | N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet. | Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale. | |
1.3.4 | N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de l'ensemble du trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
1.3.4 | N'autorisez pas le trafic sortant non autorisé de l'environnement de données de titulaires de cartes vers Internet. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
1.3.6 | Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
1.3.6 | Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables. | Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs. | |
1.3.6 | Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables. | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
1.3.6 | Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables. | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
1.3.6 | Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables. | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
1.3.6 | Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
1.3.6 | Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables. | Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès. | |
1.3.6 | Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables. | Une politique de AWS Network Firewall définit la manière dont votre pare-feu surveille et gère le trafic dans un Amazon VPC. Vous configurez des groupes de règles avec ou sans état pour filtrer les paquets et les flux de trafic, et vous définissez la gestion du trafic par défaut. | |
1.3.6 | Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables. | Un groupe de règles AWS Network Firewall contient des règles qui définissent la manière dont votre pare-feu traite le trafic dans votre VPC. Un groupe de règles sans état vide, lorsqu'il est présent dans une politique de pare-feu, ne gère pas le trafic. | |
1.3.6 | Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
1.3.6 | Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
1.3.6 | Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
1.3.6 | Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
1.3.6 | Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
1.3.6 | Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
1.3.6 | Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
1.3.6 | Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
1.3.6 | Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
1.3.6 | Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
1.3.6 | Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables. | Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale. | |
1.3.6 | Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de l'ensemble du trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
1.3.6 | Placez les composants système qui stockent les données de titulaires de cartes (comme une base de données) dans une zone réseau interne, séparée de la zone DMZ et des autres réseaux non fiables. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
2.1 | Modifiez toujours les valeurs par défaut fournies par le fournisseur et supprimez ou désactivez les comptes par défaut inutiles avant d'installer un système sur le réseau. Cela s'applique à TOUS les mots de passe par défaut, y compris, mais sans s'y limiter, ceux utilisés par les systèmes d'exploitation, les logiciels fournissant des services de sécurité, les comptes d'applications et de systèmes, les terminaux point-of-sale (POS), les applications de paiement, les chaînes communautaires SNMP (Simple Network Management Protocol), etc.). | Les noms d'utilisateur par défaut étant connus de tous, leur modification peut contribuer à réduire la surface d'attaque de votre ou de vos clusters de base de données Amazon Relational Database Service (Amazon RDS). | |
2.1 | Modifiez toujours les valeurs par défaut fournies par le fournisseur et supprimez ou désactivez les comptes par défaut inutiles avant d'installer un système sur le réseau. Cela s'applique à TOUS les mots de passe par défaut, y compris, mais sans s'y limiter, ceux utilisés par les systèmes d'exploitation, les logiciels fournissant des services de sécurité, les comptes d'applications et de systèmes, les terminaux point-of-sale (POS), les applications de paiement, les chaînes communautaires SNMP (Simple Network Management Protocol), etc.). | Les noms d'utilisateur par défaut étant connus de tous, leur modification peut contribuer à réduire la surface d'attaque de votre ou de vos instances de base de données Amazon Relational Database Service (Amazon RDS). | |
2.1 | Modifiez toujours les valeurs par défaut fournies par le fournisseur et supprimez ou désactivez les comptes par défaut inutiles avant d'installer un système sur le réseau. Cela s'applique à TOUS les mots de passe par défaut, y compris, mais sans s'y limiter, ceux utilisés par les systèmes d'exploitation, les logiciels fournissant des services de sécurité, les comptes d'applications et de systèmes, les terminaux point-of-sale (POS), les applications de paiement, les chaînes communautaires SNMP (Simple Network Management Protocol), etc.). | Les noms d'utilisateur par défaut étant connus de tous, leur modification peut réduire la surface d'attaque de votre ou de vos clusters Amazon Redshift. | |
2.1 | Modifiez toujours les valeurs par défaut fournies par le fournisseur et supprimez ou désactivez les comptes par défaut inutiles avant d'installer un système sur le réseau. Cela s'applique à TOUS les mots de passe par défaut, y compris, mais sans s'y limiter, ceux utilisés par les systèmes d'exploitation, les logiciels fournissant des services de sécurité, les comptes d'applications et de systèmes, les terminaux point-of-sale (POS), les applications de paiement, les chaînes communautaires SNMP (Simple Network Management Protocol), etc.). | Les noms par défaut sont connus du public et doivent être modifiés lors de la configuration. Modifier le nom de la base de données par défaut de votre cluster Amazon Redshift peut contribuer à réduire la surface d'attaque de votre cluster Redshift. | |
2.1 | Modifiez toujours les valeurs par défaut fournies par le fournisseur et supprimez ou désactivez les comptes par défaut inutiles avant d'installer un système sur le réseau. Cela s'applique à TOUS les mots de passe par défaut, y compris, mais sans s'y limiter, ceux utilisés par les systèmes d'exploitation, les logiciels fournissant des services de sécurité, les comptes d'applications et de systèmes, les terminaux point-of-sale (POS), les applications de paiement, les chaînes communautaires SNMP (Simple Network Management Protocol), etc.). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
2.1 | Modifiez toujours les valeurs par défaut fournies par le fournisseur et supprimez ou désactivez les comptes par défaut inutiles avant d'installer un système sur le réseau. Cela s'applique à TOUS les mots de passe par défaut, y compris, mais sans s'y limiter, ceux utilisés par les systèmes d'exploitation, les logiciels fournissant des services de sécurité, les comptes d'applications et de systèmes, les terminaux point-of-sale (POS), les applications de paiement, les chaînes communautaires SNMP (Simple Network Management Protocol), etc.). | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de l'ensemble du trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
2.2 | Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST). | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
2.2 | Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST). | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
2.2 | Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST). | Les informations d'identification sont auditées pour les appareils, les utilisateurs et les processus autorisés en veillant à ce que les clés d'accès IAM soient alternées conformément à la politique de l'organisation. La modification régulière des clés d'accès est une bonne pratique de sécurité. Cela permet de raccourcir la période pendant laquelle une clé d'accès est active et de réduire l'impact commercial en cas de compromission des clés. Cette règle nécessite une valeur de rotation des clés d'accès (configuration par défaut : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
2.2 | Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST). | La gestion centralisée Comptes AWS au sein des AWS Organisations permet de garantir la conformité des comptes. L'absence de gouvernance centralisée des comptes peut entraîner des configurations de comptes incohérentes, ce qui peut exposer des ressources et des données sensibles. | |
2.2 | Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST). | Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs. | |
2.2 | Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST). | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS. | |
2.2 | Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST). | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le cryptage est activé pour vos AWS CloudTrail pistes. | |
2.2 | Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST). | Utilisez la validation des fichiers AWS CloudTrail journaux pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonctionnalité est créée grâce à des algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection. | |
2.2 | Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST). | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les Compte AWS informations qui ont accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
2.2 | Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST). | Activez la rotation des clés pour vous assurer que les clés sont pivotées une fois qu'elles ont atteint la fin de leur période de chiffrement. | |
2.2 | Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST). | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données. | |
2.2 | Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST). | Cette règle vérifie si vos instances Amazon Elastic Compute Cloud (Amazon EC2) ont plusieurs ENI. Le fait d'avoir plusieurs ENI peut entraîner la création d'instances à double connexion, c'est-à-dire d'instances ayant plusieurs sous-réseaux. Cela peut ajouter à la complexité de la sécurité du réseau et introduire des chemins et des accès non intentionnels au réseau. | |
2.2 | Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : le Center for Internet Security (CIS), l'Organisation internationale de normalisation (ISO), l'Institut de sécurité des réseaux d' SysAdmin audit (SANS), le National Institute of Standards Technology (NIST). | Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des niveaux de référence pour les niveaux de correctifs du système d'exploitation, les installations de logiciels, les configurations d'applications et d'autres informations relatives à votre environnement. | |
2.2 | Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST). | Activez cette règle pour faciliter l'identification et la documentation des vulnérabilités d'Amazon Elastic Compute Cloud (Amazon EC2). La règle vérifie si les correctifs d'instance Amazon EC2 sont conformes dans AWS Systems Manager conformément aux politiques et procédures de votre entreprise. | |
2.2 | Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST). | Cette règle garantit que les groupes de sécurité sont associés à une instance Amazon Elastic Compute Cloud (Amazon EC2) ou à une ENI. Cette règle permet de surveiller les groupes de sécurité non utilisés dans l'inventaire et de gérer votre environnement. | |
2.2 | Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST). | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). | |
2.2 | Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST). | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
2.2 | Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST). | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
2.2 | Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST). | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité. | |
2.2 | Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST). | AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et les autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
2.2 | Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST). | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
2.2 | Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST). | AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
2.2 | Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles. | |
2.2 | Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
2.2 | Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
2.2 | Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
2.2 | Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST). | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
2.2 | Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST). | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
2.2 | Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST). | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
2.2 | Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST). | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
2.2 | Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : le Center for Internet Security (CIS), l'Organisation internationale de normalisation (ISO), l'Institut de sécurité des réseaux d' SysAdmin audit (SANS), le National Institute of Standards Technology (NIST). | La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données. | |
2.2 | Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST). | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données. | |
2.2 | Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST). | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
2.2 | Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST). | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de l'ensemble du trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
2.2 | Développez des normes de configuration pour tous les composants système. Assurez-vous que ces normes répondent à toutes les vulnérabilités de sécurité connues et sont conformes aux normes relatives à la sécurisation renforcée des systèmes acceptées par le secteur. Les sources des normes de renforcement des systèmes acceptées par l'industrie peuvent inclure, sans toutefois s'y limiter : • le Center for Internet Security (CIS) • l'Organisation internationale de normalisation (ISO) • l'Institut de sécurité des réseaux SysAdmin d'audit (SANS) • le National Institute of Standards Technology (NIST). | Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole. | |
2.2.2 | Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
2.2.2 | Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système. | Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs. | |
2.2.2 | Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système. | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
2.2.2 | Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système. | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
2.2.2 | Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système. | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
2.2.2 | Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système. | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
2.2.2 | Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système. | Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès. | |
2.2.2 | Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
2.2.2 | Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système. | Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC. | |
2.2.2 | Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système. | Assurez-vous que les tables de routage Amazon EC2 ne disposent pas de routes illimitées vers une passerelle Internet. La suppression ou la limitation de l'accès à Internet pour les charges de travail au sein des réseaux Amazon VPC peut réduire les accès imprévus au sein de votre environnement. | |
2.2.2 | Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
2.2.2 | Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
2.2.2 | Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
2.2.2 | Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
2.2.2 | Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
2.2.2 | Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
2.2.2 | Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
2.2.2 | Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
2.2.2 | Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
2.2.2 | Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système. | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
2.2.2 | Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système. | Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale. | |
2.2.2 | Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de l'ensemble du trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
2.2.2 | Activez uniquement les services, protocoles, démons, etc. nécessaires au fonctionnement du système. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
2.2.3 | Mettez en œuvre des fonctionnalités de sécurité supplémentaires pour tous les services, protocoles ou démons requis considérés comme non sécurisés. | Pour faciliter la protection des applications contre les vulnérabilités HTTP Desync, assurez-vous que le mode d'atténuation HTTP Desync est activé sur vos équilibreurs de charge d'application. Les problèmes de désynchronisation HTTP peuvent entraîner la dissimulation de requêtes et rendre vos applications vulnérables à l'empoisonnement de la file d'attente des requêtes ou du cache. Les modes d'atténuation de désynchronisation sont Moniteur, Défensif et Le plus strict. Le mode défensif est le mode par défaut. | |
2.3 | Chiffrez tous les accès administratifs hors console à l'aide d'un chiffrement fort. | Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
2.3 | Chiffrez tous les accès administratifs hors console à l'aide d'un chiffrement fort. | Assurez-vous que les étapes de l'API REST Amazon API Gateway sont configurées avec des certificats SSL pour permettre aux systèmes backend d'authentifier que les demandes proviennent d'API Gateway. | |
2.3 | Chiffrez tous les accès administratifs hors console à l'aide d'un chiffrement fort. | Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
2.3 | Chiffrez tous les accès administratifs hors console à l'aide d'un chiffrement fort. | Étant donné que des données sensibles peuvent exister et pour protéger les données en transit, assurez-vous que le protocole HTTPS est activé pour les connexions à vos domaines Amazon OpenSearch Service. | |
2.3 | Chiffrez tous les accès administratifs hors console à l'aide d'un chiffrement fort. | Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
2,4 | Tenez à jour un inventaire des composants système qui sont concernés par la norme PCI DSS. | Cette règle garantit que les groupes de sécurité sont associés à une instance Amazon Elastic Compute Cloud (Amazon EC2) ou à une ENI. Cette règle permet de surveiller les groupes de sécurité non utilisés dans l'inventaire et de gérer votre environnement. | |
2,4 | Tenez à jour un inventaire des composants système qui sont concernés par la norme PCI DSS. | Cette règle garantit que les adresses IP Elastic (EIP) allouées à un réseau Amazon Virtual Private Cloud (Amazon VPC) sont attachées aux instances Amazon Elastic Compute Cloud (Amazon EC2) ou aux interfaces réseaux Elastic (ENI) en cours d'utilisation. Cette règle permet de surveiller les EIP non utilisées dans votre environnement. | |
2,4 | Tenez à jour un inventaire des composants système qui sont concernés par la norme PCI DSS. | Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement. | |
2,4 | Tenez à jour un inventaire des composants système qui sont concernés par la norme PCI DSS. | Cette règle garantit que les listes de contrôle d'accès au réseau Amazon Virtual Private Cloud (VPC) sont utilisées. La surveillance des listes de contrôle d'accès réseau inutilisées peut faciliter l'inventaire et la gestion précis de votre environnement. | |
3.1 | Limitez le stockage des données de titulaires de cartes au minimum en mettant en œuvre des politiques et des procédures de conservation et d'élimination des données qui comprennent au moins les éléments suivants pour l'ensemble du stockage des données de titulaires de cartes (CHD) : • Limitation de la quantité de stockage et de la durée de conservation des données à ce qui est nécessaire pour répondre aux exigences légales, réglementaires et/ou commerciales • Exigences de conservation spécifiques pour les données de titulaires de cartes • Procédure de suppression sécurisée des données lorsqu'elles ne sont plus nécessaires • Une procédure trimestrielle d'identification et de suppression sécurisée des données de titulaires de cartes stockées qui dépassent les durées de conservation définies. | Assurez-vous que les politiques de cycle de vie d'Amazon S3 sont configurées pour vous aider à définir les actions qu'Amazon S3 doit effectuer au cours de la durée de vie d'un objet (par exemple, transférer les objets vers une autre classe de stockage, les archiver ou les supprimer au bout d'une certaine période). | |
3.1 | Limitez le stockage des données de titulaires de cartes au minimum en mettant en œuvre des politiques et des procédures de conservation et d'élimination des données qui comprennent au moins les éléments suivants pour l'ensemble du stockage des données de titulaires de cartes (CHD) : • Limitation de la quantité de stockage et de la durée de conservation des données à ce qui est nécessaire pour répondre aux exigences légales, réglementaires et/ou commerciales • Exigences de conservation spécifiques pour les données de titulaires de cartes • Procédure de suppression sécurisée des données lorsqu'elles ne sont plus nécessaires • Une procédure trimestrielle d'identification et de suppression sécurisée des données de titulaires de cartes stockées qui dépassent les durées de conservation définies. | Pour faciliter les processus de sauvegarde des données, assurez-vous que votre plan AWS de sauvegarde est défini pour une fréquence et une rétention minimales. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Cette règle vous permet de définir les paramètres requiredFrequencyValue (Config par défaut : 1), requiredRetentionDays (Config par défaut : 35) et requiredFrequencyUnit (Config par défaut : jours). La valeur réelle doit refléter les exigences de votre organisation. | |
3.1 | Limitez le stockage des données de titulaires de cartes au minimum en mettant en œuvre des politiques et des procédures de conservation et d'élimination des données qui comprennent au moins les éléments suivants pour l'ensemble du stockage des données de titulaires de cartes (CHD) : • Limitation de la quantité de stockage et de la durée de conservation des données à ce qui est nécessaire pour répondre aux exigences légales, réglementaires et/ou commerciales • Exigences de conservation spécifiques pour les données de titulaires de cartes • Procédure de suppression sécurisée des données lorsqu'elles ne sont plus nécessaires • Une procédure trimestrielle d'identification et de suppression sécurisée des données de titulaires de cartes stockées qui dépassent les durées de conservation définies. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos points de restauration AWS Backup disposent d'une période de conservation minimale définie. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Cette règle vous permet de définir le paramètre requiredRetentionDays (par défaut de configuration : 35). La valeur réelle doit refléter les exigences de votre organisation. | |
3.1 | Limitez le stockage des données de titulaires de cartes au minimum en mettant en œuvre des politiques et des procédures de conservation et d'élimination des données qui comprennent au moins les éléments suivants pour l'ensemble du stockage des données de titulaires de cartes (CHD) : • Limitation de la quantité de stockage et de la durée de conservation des données à ce qui est nécessaire pour répondre aux exigences légales, réglementaires et/ou commerciales • Exigences de conservation spécifiques pour les données de titulaires de cartes • Procédure de suppression sécurisée des données lorsqu'elles ne sont plus nécessaires • Une procédure trimestrielle d'identification et de suppression sécurisée des données de titulaires de cartes stockées qui dépassent les durées de conservation définies. | elasticache-redis-cluster-automatic-vérification des sauvegardes |
Lorsque les sauvegardes automatiques sont activées, Amazon ElastiCache crée une sauvegarde du cluster quotidiennement. La sauvegarde peut être conservée pendant un nombre de jours défini par votre organisation. Les sauvegardes automatiques peuvent constituer une protection contre la perte de données. En cas de défaillance, vous pouvez créer un nouveau cluster, ce qui restaurera vos données à partir de la sauvegarde la plus récente. |
3.4 | Rendez le numéro PAN illisible partout où il est stocké (y compris sur les supports numériques portables, les supports de sauvegarde et dans les journaux) à l'aide de l'une des approches suivantes : • Hachage unidirectionnel basé sur un chiffrement fort (le hachage doit porter sur tout le numéro PAN) • Troncature (le hachage ne peut pas être utilisé pour remplacer le segment tronqué du numéro PAN) • Jetons d'index et remplissages (les remplissages doivent être stockés de manière sécurisée) • Chiffrement puissant associé aux procédures de gestion des clés associés. Remarque : il est relativement facile pour une personne malveillante de reconstituer les données originales du numéro PAN si elle a accès à la fois à la version tronquée et à la version hachée d'un numéro PAN. Lorsque des versions hachées et tronquées du même numéro PAN sont présentes dans l'environnement d'une entité, des contrôles supplémentaires doivent être mis en place pour s'assurer que les versions hachées et tronquées ne peuvent pas être mises en corrélation pour reconstituer le numéro PAN d'origine. | Assurez-vous que le chiffrement est activé pour vos points AWS de restauration Backup. Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données. | |
3.4 | Rendez le numéro PAN illisible partout où il est stocké (y compris sur les supports numériques portables, les supports de sauvegarde et dans les journaux) à l'aide de l'une des approches suivantes : • Hachage unidirectionnel basé sur un chiffrement fort (le hachage doit porter sur tout le numéro PAN) • Troncature (le hachage ne peut pas être utilisé pour remplacer le segment tronqué du numéro PAN) • Jetons d'index et remplissages (les remplissages doivent être stockés de manière sécurisée) • Chiffrement puissant associé aux procédures de gestion des clés associés. Remarque : il est relativement facile pour une personne malveillante de reconstituer les données originales du numéro PAN si elle a accès à la fois à la version tronquée et à la version hachée d'un numéro PAN. Lorsque des versions hachées et tronquées du même numéro PAN sont présentes dans l'environnement d'une entité, des contrôles supplémentaires doivent être mis en place pour s'assurer que les versions hachées et tronquées ne peuvent pas être mises en corrélation pour reconstituer le numéro PAN d'origine. | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le cryptage est activé pour vos AWS CloudTrail pistes. | |
3.4 | Rendez le numéro PAN illisible partout où il est stocké (y compris sur les supports numériques portables, les supports de sauvegarde et dans les journaux) à l'aide de l'une des approches suivantes : • Hachage unidirectionnel basé sur un chiffrement fort (le hachage doit porter sur tout le numéro PAN) • Troncature (le hachage ne peut pas être utilisé pour remplacer le segment tronqué du numéro PAN) • Jetons d'index et remplissages (les remplissages doivent être stockés de manière sécurisée) • Chiffrement puissant associé aux procédures de gestion des clés associés. Remarque : il est relativement facile pour une personne malveillante de reconstituer les données originales du numéro PAN si elle a accès à la fois à la version tronquée et à la version hachée d'un numéro PAN. Lorsque des versions hachées et tronquées du même numéro PAN sont présentes dans l'environnement d'une entité, des contrôles supplémentaires doivent être mis en place pour s'assurer que les versions hachées et tronquées ne peuvent pas être mises en corrélation pour reconstituer le numéro PAN d'origine. | Pour protéger les données sensibles au repos, assurez-vous que le chiffrement est activé pour vos Amazon CloudWatch Log Groups. | |
3.4 | Rendez le numéro PAN illisible partout où il est stocké (y compris sur les supports numériques portables, les supports de sauvegarde et dans les journaux) à l'aide de l'une des approches suivantes : • Hachage unidirectionnel basé sur un chiffrement fort (le hachage doit porter sur tout le numéro PAN) • Troncature (le hachage ne peut pas être utilisé pour remplacer le segment tronqué du numéro PAN) • Jetons d'index et remplissages (les remplissages doivent être stockés de manière sécurisée) • Chiffrement puissant associé aux procédures de gestion des clés associés. Remarque : il est relativement facile pour une personne malveillante de reconstituer les données originales du numéro PAN si elle a accès à la fois à la version tronquée et à la version hachée d'un numéro PAN. Lorsque des versions hachées et tronquées du même numéro PAN sont présentes dans l'environnement d'une entité, des contrôles supplémentaires doivent être mis en place pour s'assurer que les versions hachées et tronquées ne peuvent pas être mises en corrélation pour reconstituer le numéro PAN d'origine. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données. | |
3.4 | Rendez le numéro PAN illisible partout où il est stocké (y compris sur les supports numériques portables, les supports de sauvegarde et dans les journaux) à l'aide de l'une des approches suivantes : • Hachage unidirectionnel basé sur un chiffrement fort (le hachage doit porter sur tout le numéro PAN) • Troncature (le hachage ne peut pas être utilisé pour remplacer le segment tronqué du numéro PAN) • Jetons d'index et remplissages (les remplissages doivent être stockés de manière sécurisée) • Chiffrement puissant associé aux procédures de gestion des clés associés. Remarque : il est relativement facile pour une personne malveillante de reconstituer les données originales du numéro PAN si elle a accès à la fois à la version tronquée et à la version hachée d'un numéro PAN. Lorsque des versions hachées et tronquées du même numéro PAN sont présentes dans l'environnement d'une entité, des contrôles supplémentaires doivent être mis en place pour s'assurer que les versions hachées et tronquées ne peuvent pas être mises en corrélation pour reconstituer le numéro PAN d'origine. | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour votre Amazon Elastic File System (EFS). | |
3.4 | Rendez le numéro PAN illisible partout où il est stocké (y compris sur les supports numériques portables, les supports de sauvegarde et dans les journaux) à l'aide de l'une des approches suivantes : • Hachage unidirectionnel basé sur un chiffrement fort (le hachage doit porter sur tout le numéro PAN) • Troncature (le hachage ne peut pas être utilisé pour remplacer le segment tronqué du numéro PAN) • Jetons d'index et remplissages (les remplissages doivent être stockés de manière sécurisée) • Chiffrement puissant associé aux procédures de gestion des clés associés. Remarque : il est relativement facile pour une personne malveillante de reconstituer les données originales du numéro PAN si elle a accès à la fois à la version tronquée et à la version hachée d'un numéro PAN. Lorsque des versions hachées et tronquées du même numéro PAN sont présentes dans l'environnement d'une entité, des contrôles supplémentaires doivent être mis en place pour s'assurer que les versions hachées et tronquées ne peuvent pas être mises en corrélation pour reconstituer le numéro PAN d'origine. | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). | |
3.4 | Rendez le numéro PAN illisible partout où il est stocké (y compris sur les supports numériques portables, les supports de sauvegarde et dans les journaux) à l'aide de l'une des approches suivantes : • Hachage unidirectionnel basé sur un chiffrement fort (le hachage doit porter sur tout le numéro PAN) • Troncature (le hachage ne peut pas être utilisé pour remplacer le segment tronqué du numéro PAN) • Jetons d'index et remplissages (les remplissages doivent être stockés de manière sécurisée) • Chiffrement puissant associé aux procédures de gestion des clés associés. Remarque : il est relativement facile pour une personne malveillante de reconstituer les données originales du numéro PAN si elle a accès à la fois à la version tronquée et à la version hachée d'un numéro PAN. Lorsque des versions hachées et tronquées du même numéro PAN sont présentes dans l'environnement d'une entité, des contrôles supplémentaires doivent être mis en place pour s'assurer que les versions hachées et tronquées ne peuvent pas être mises en corrélation pour reconstituer le numéro PAN d'origine. | Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données. | |
3.4 | Rendez le numéro PAN illisible partout où il est stocké (y compris sur les supports numériques portables, les supports de sauvegarde et dans les journaux) à l'aide de l'une des approches suivantes : • Hachage unidirectionnel basé sur un chiffrement fort (le hachage doit porter sur tout le numéro PAN) • Troncature (le hachage ne peut pas être utilisé pour remplacer le segment tronqué du numéro PAN) • Jetons d'index et remplissages (les remplissages doivent être stockés de manière sécurisée) • Chiffrement puissant associé aux procédures de gestion des clés associés. Remarque : il est relativement facile pour une personne malveillante de reconstituer les données originales du numéro PAN si elle a accès à la fois à la version tronquée et à la version hachée d'un numéro PAN. Lorsque des versions hachées et tronquées du même numéro PAN sont présentes dans l'environnement d'une entité, des contrôles supplémentaires doivent être mis en place pour s'assurer que les versions hachées et tronquées ne peuvent pas être mises en corrélation pour reconstituer le numéro PAN d'origine. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos dans les instances Amazon RDS, activez le chiffrement au repos pour protéger ces données. | |
3.4 | Rendez le numéro PAN illisible partout où il est stocké (y compris sur les supports numériques portables, les supports de sauvegarde et dans les journaux) à l'aide de l'une des approches suivantes : • Hachage unidirectionnel basé sur un chiffrement fort (le hachage doit porter sur tout le numéro PAN) • Troncature (le hachage ne peut pas être utilisé pour remplacer le segment tronqué du numéro PAN) • Jetons d'index et remplissages (les remplissages doivent être stockés de manière sécurisée) • Chiffrement puissant associé aux procédures de gestion des clés associés. Remarque : il est relativement facile pour une personne malveillante de reconstituer les données originales du numéro PAN si elle a accès à la fois à la version tronquée et à la version hachée d'un numéro PAN. Lorsque des versions hachées et tronquées du même numéro PAN sont présentes dans l'environnement d'une entité, des contrôles supplémentaires doivent être mis en place pour s'assurer que les versions hachées et tronquées ne peuvent pas être mises en corrélation pour reconstituer le numéro PAN d'origine. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
3.4 | Rendez le numéro PAN illisible partout où il est stocké (y compris sur les supports numériques portables, les supports de sauvegarde et dans les journaux) à l'aide de l'une des approches suivantes : • Hachage unidirectionnel basé sur un chiffrement fort (le hachage doit porter sur tout le numéro PAN) • Troncature (le hachage ne peut pas être utilisé pour remplacer le segment tronqué du numéro PAN) • Jetons d'index et remplissages (les remplissages doivent être stockés de manière sécurisée) • Chiffrement puissant associé aux procédures de gestion des clés associés. Remarque : il est relativement facile pour une personne malveillante de reconstituer les données originales du numéro PAN si elle a accès à la fois à la version tronquée et à la version hachée d'un numéro PAN. Lorsque des versions hachées et tronquées du même numéro PAN sont présentes dans l'environnement d'une entité, des contrôles supplémentaires doivent être mis en place pour s'assurer que les versions hachées et tronquées ne peuvent pas être mises en corrélation pour reconstituer le numéro PAN d'origine. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données. | |
3.4 | Rendez le numéro PAN illisible partout où il est stocké (y compris sur les supports numériques portables, les supports de sauvegarde et dans les journaux) à l'aide de l'une des approches suivantes : • Hachage unidirectionnel basé sur un chiffrement fort (le hachage doit porter sur tout le numéro PAN) • Troncature (le hachage ne peut pas être utilisé pour remplacer le segment tronqué du numéro PAN) • Jetons d'index et remplissages (les remplissages doivent être stockés de manière sécurisée) • Chiffrement puissant associé aux procédures de gestion des clés associés. Remarque : il est relativement facile pour une personne malveillante de reconstituer les données originales du numéro PAN si elle a accès à la fois à la version tronquée et à la version hachée d'un numéro PAN. Lorsque des versions hachées et tronquées du même numéro PAN sont présentes dans l'environnement d'une entité, des contrôles supplémentaires doivent être mis en place pour s'assurer que les versions hachées et tronquées ne peuvent pas être mises en corrélation pour reconstituer le numéro PAN d'origine. | Assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans un compartiment Amazon S3, activez le chiffrement au repos pour protéger ces données. | |
3.4 | Rendez le numéro PAN illisible partout où il est stocké (y compris sur les supports numériques portables, les supports de sauvegarde et dans les journaux) à l'aide de l'une des approches suivantes : • Hachage unidirectionnel basé sur un chiffrement fort (le hachage doit porter sur tout le numéro PAN) • Troncature (le hachage ne peut pas être utilisé pour remplacer le segment tronqué du numéro PAN) • Jetons d'index et remplissages (les remplissages doivent être stockés de manière sécurisée) • Chiffrement puissant associé aux procédures de gestion des clés associés. Remarque : il est relativement facile pour une personne malveillante de reconstituer les données originales du numéro PAN si elle a accès à la fois à la version tronquée et à la version hachée d'un numéro PAN. Lorsque des versions hachées et tronquées du même numéro PAN sont présentes dans l'environnement d'une entité, des contrôles supplémentaires doivent être mis en place pour s'assurer que les versions hachées et tronquées ne peuvent pas être mises en corrélation pour reconstituer le numéro PAN d'origine. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker terminal. Étant donné que les données sensibles peuvent exister au repos sur le SageMaker terminal, activez le chiffrement au repos pour protéger ces données. | |
3.4 | Rendez le numéro PAN illisible partout où il est stocké (y compris sur les supports numériques portables, les supports de sauvegarde et dans les journaux) à l'aide de l'une des approches suivantes : • Hachage unidirectionnel basé sur un chiffrement fort (le hachage doit porter sur tout le numéro PAN) • Troncature (le hachage ne peut pas être utilisé pour remplacer le segment tronqué du numéro PAN) • Jetons d'index et remplissages (les remplissages doivent être stockés de manière sécurisée) • Chiffrement puissant associé aux procédures de gestion des clés associés. Remarque : il est relativement facile pour une personne malveillante de reconstituer les données originales du numéro PAN si elle a accès à la fois à la version tronquée et à la version hachée d'un numéro PAN. Lorsque des versions hachées et tronquées du même numéro PAN sont présentes dans l'environnement d'une entité, des contrôles supplémentaires doivent être mis en place pour s'assurer que les versions hachées et tronquées ne peuvent pas être mises en corrélation pour reconstituer le numéro PAN d'origine. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker ordinateur portable. Étant donné que des données sensibles peuvent exister au repos dans le SageMaker bloc-notes, activez le chiffrement au repos pour protéger ces données. | |
3.4 | Rendez le numéro PAN illisible partout où il est stocké (y compris sur les supports numériques portables, les supports de sauvegarde et dans les journaux) à l'aide de l'une des approches suivantes : • Hachage unidirectionnel basé sur un chiffrement fort (le hachage doit porter sur tout le numéro PAN) • Troncature (le hachage ne peut pas être utilisé pour remplacer le segment tronqué du numéro PAN) • Jetons d'index et remplissages (les remplissages doivent être stockés de manière sécurisée) • Chiffrement puissant associé aux procédures de gestion des clés associés. Remarque : il est relativement facile pour une personne malveillante de reconstituer les données originales du numéro PAN si elle a accès à la fois à la version tronquée et à la version hachée d'un numéro PAN. Lorsque des versions hachées et tronquées du même numéro PAN sont présentes dans l'environnement d'une entité, des contrôles supplémentaires doivent être mis en place pour s'assurer que les versions hachées et tronquées ne peuvent pas être mises en corrélation pour reconstituer le numéro PAN d'origine. | Pour protéger les données au repos, assurez-vous que vos rubriques Amazon Simple Notification Service (Amazon SNS) nécessitent un chiffrement à l' AWS aide du Key Management Service AWS (KMS). Comme il peut y avoir des données sensibles au repos dans les messages publiés, activez le chiffrement au repos pour protéger ces données. | |
3.5.2 | Limitez l'accès aux clés de chiffrement au plus petit nombre possible de dépositaires. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms :). ReEncryptFrom Les valeurs réelles doivent refléter les politiques de votre organisation | |
3.5.2 | Limitez l'accès aux clés de chiffrement au plus petit nombre possible de dépositaires. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms :). ReEncryptFrom Les valeurs réelles doivent refléter les politiques de votre organisation. | |
3.5.3 | Stockez à tout moment les clés secrètes et privées utilisées pour crypter/déchiffrer les données des titulaires de carte sous l'une (ou plusieurs) des formes suivantes : • Chiffrées à l'aide d'une clé au moins aussi puissante que la clé de cryptage des données et stockée séparément de la clé de cryptage des données • Au sein d'un dispositif cryptographique sécurisé (tel qu'un module de sécurité matériel (hôte) (HSM) ou un point-of-interaction appareil approuvé par le PTS) • Au moins deux clés complètes longueur des composants clés ou des partages de clés, conformément à une méthode acceptée par l'industrie Remarque : Il n'est pas nécessaire que les clés publiques soient stockées dans l'un des ces formulaires. | Assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans un compartiment Amazon S3, activez le chiffrement au repos pour protéger ces données. | |
3.5.3 | Stockez à tout moment les clés secrètes et privées utilisées pour crypter/déchiffrer les données des titulaires de carte sous l'une (ou plusieurs) des formes suivantes : • Chiffrées à l'aide d'une clé au moins aussi puissante que la clé de cryptage des données et stockée séparément de la clé de cryptage des données • Au sein d'un dispositif cryptographique sécurisé (tel qu'un module de sécurité matériel (hôte) (HSM) ou un point-of-interaction appareil approuvé par le PTS) • Au moins deux clés complètes longueur des composants clés ou des partages de clés, conformément à une méthode acceptée par l'industrie Remarque : Il n'est pas nécessaire que les clés publiques soient stockées dans l'un des ces formulaires. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker terminal. Étant donné que les données sensibles peuvent exister au repos sur le SageMaker terminal, activez le chiffrement au repos pour protéger ces données. | |
3.5.3 | Stockez à tout moment les clés secrètes et privées utilisées pour crypter/déchiffrer les données des titulaires de carte sous l'une (ou plusieurs) des formes suivantes : • Chiffrées à l'aide d'une clé au moins aussi puissante que la clé de cryptage des données et stockée séparément de la clé de cryptage des données • Au sein d'un dispositif cryptographique sécurisé (tel qu'un module de sécurité matériel (hôte) (HSM) ou un point-of-interaction appareil approuvé par le PTS) • Au moins deux clés complètes longueur des composants clés ou des partages de clés, conformément à une méthode acceptée par l'industrie Remarque : Il n'est pas nécessaire que les clés publiques soient stockées dans l'un des ces formulaires. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker ordinateur portable. Étant donné que des données sensibles peuvent exister au repos dans le SageMaker bloc-notes, activez le chiffrement au repos pour protéger ces données. | |
3.6.4 | Changements de clés de chiffrement pour les clés qui ont atteint la fin de leur période de chiffrement (par exemple, après une période de temps définie et/ou après qu'une certaine quantité de texte chiffré a été produite par une clé donnée), comme défini par le fournisseur de l'application ou le propriétaire de la clé associé, et selon les bonnes pratiques et les directives de l'industrie (par exemple, la publication spéciale 800-57 du NIST). | Activez la rotation des clés pour vous assurer que les clés sont pivotées une fois qu'elles ont atteint la fin de leur période de chiffrement. | |
3.6.5 | Retrait ou remplacement (par exemple, archivage, destruction et/ou révocation) des clés si cela est jugé nécessaire lorsque l'intégrité de la clé a été affaiblie (par exemple, départ d'un employé ayant connaissance d'un composant de clé en clair) ou que l'on soupçonne que les clés ont été compromises. Note : Si des clés de chiffrement retirées ou remplacées doivent être conservées, ces clés doivent être archivées de manière sécurisée (par exemple, à l'aide d'une clé de chiffrement). Les clés de chiffrement archivées ne doivent être utilisées qu'à des fins de déchiffrement/vérification. | Pour protéger les données au repos, assurez-vous que la suppression des clés principales du client (CMK) nécessaires n'est pas planifiée dans le service de gestion des AWS clés (AWS KMS). La suppression de clés étant parfois nécessaire, cette règle peut aider à vérifier toutes les clés dont la suppression est prévue, au cas où la suppression d'une clé aurait été planifiée par inadvertance. | |
3.6.7 | Prévention de la substitution non autorisée de clés de chiffrement. | Pour protéger les données au repos, assurez-vous que la suppression des clés principales du client (CMK) nécessaires n'est pas planifiée dans le service de gestion des AWS clés (AWS KMS). La suppression de clés étant parfois nécessaire, cette règle peut aider à vérifier toutes les clés dont la suppression est prévue, au cas où la suppression d'une clé aurait été planifiée par inadvertance. | |
4.1 | Utilisez un chiffrement et des protocoles de sécurité robustes pour protéger les données sensibles de titulaires de cartes lors de leur transmission sur des réseaux ouverts et publics, notamment les suivants : • Seuls les clés et les certificats de confiance sont acceptés. • Le protocole utilisé ne prend en charge que des versions ou des configurations sécurisées. • Le niveau de chiffrement est adapté à la méthode de chiffrement utilisée. Les exemples de réseaux ouverts et publics comprennent, sans toutefois s'y limiter : • Internet • Les technologies sans fil, notamment 802.11 et Bluetooth • Les technologies cellulaires, par exemple, le système mondial de communications mobiles (GSM), l'accès multiple par répartition en code (CDMA) • Le service général de radiocommunication par paquets (GPRS) • Les communications par satellite | Assurez-vous que l'intégrité du réseau est protégée en vous assurant que les certificats X509 sont émis par AWS ACM. Ces certificats doivent être valides et non expirés. Cette règle nécessite une valeur pour daysToExpiration (valeur des meilleures pratiques de sécuritéAWS fondamentales : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
4.1 | Utilisez un chiffrement et des protocoles de sécurité robustes pour protéger les données sensibles de titulaires de cartes lors de leur transmission sur des réseaux ouverts et publics, notamment les suivants : • Seuls les clés et les certificats de confiance sont acceptés. • Le protocole utilisé ne prend en charge que des versions ou des configurations sécurisées. • Le niveau de chiffrement est adapté à la méthode de chiffrement utilisée. Les exemples de réseaux ouverts et publics comprennent, sans toutefois s'y limiter : • Internet • Les technologies sans fil, notamment 802.11 et Bluetooth • Les technologies cellulaires, par exemple, le système mondial de communications mobiles (GSM), l'accès multiple par répartition en code (CDMA) • Le service général de radiocommunication par paquets (GPRS) • Les communications par satellite | Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
4.1 | Utilisez un chiffrement et des protocoles de sécurité robustes pour protéger les données sensibles de titulaires de cartes lors de leur transmission sur des réseaux ouverts et publics, notamment les suivants : • Seuls les clés et les certificats de confiance sont acceptés. • Le protocole utilisé ne prend en charge que des versions ou des configurations sécurisées. • Le niveau de chiffrement est adapté à la méthode de chiffrement utilisée. Les exemples de réseaux ouverts et publics comprennent, sans toutefois s'y limiter : • Internet • Les technologies sans fil, notamment 802.11 et Bluetooth • Les technologies cellulaires, par exemple, le système mondial de communications mobiles (GSM), l'accès multiple par répartition en code (CDMA) • Le service général de radiocommunication par paquets (GPRS) • Les communications par satellite | Assurez-vous que les étapes de l'API REST Amazon API Gateway sont configurées avec des certificats SSL pour permettre aux systèmes backend d'authentifier que les demandes proviennent d'API Gateway. | |
4.1 | Utilisez un chiffrement et des protocoles de sécurité robustes pour protéger les données sensibles de titulaires de cartes lors de leur transmission sur des réseaux ouverts et publics, notamment les suivants : • Seuls les clés et les certificats de confiance sont acceptés. • Le protocole utilisé ne prend en charge que des versions ou des configurations sécurisées. • Le niveau de chiffrement est adapté à la méthode de chiffrement utilisée. Les exemples de réseaux ouverts et publics comprennent, sans toutefois s'y limiter : • Internet • Les technologies sans fil, notamment 802.11 et Bluetooth • Les technologies cellulaires, par exemple, le système mondial de communications mobiles (GSM), l'accès multiple par répartition en code (CDMA) • Le service général de radiocommunication par paquets (GPRS) • Les communications par satellite | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
4.1 | Utilisez un chiffrement et des protocoles de sécurité robustes pour protéger les données sensibles de titulaires de cartes lors de leur transmission sur des réseaux ouverts et publics, notamment les suivants : • Seuls les clés et les certificats de confiance sont acceptés. • Le protocole utilisé ne prend en charge que des versions ou des configurations sécurisées. • Le niveau de chiffrement est adapté à la méthode de chiffrement utilisée. Les exemples de réseaux ouverts et publics comprennent, sans toutefois s'y limiter : • Internet • Les technologies sans fil, notamment 802.11 et Bluetooth • Les technologies cellulaires, par exemple, le système mondial de communications mobiles (GSM), l'accès multiple par répartition en code (CDMA) • Le service général de radiocommunication par paquets (GPRS) • Les communications par satellite | Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
4.1 | Utilisez un chiffrement et des protocoles de sécurité robustes pour protéger les données sensibles de titulaires de cartes lors de leur transmission sur des réseaux ouverts et publics, notamment les suivants : • Seuls les clés et les certificats de confiance sont acceptés. • Le protocole utilisé ne prend en charge que des versions ou des configurations sécurisées. • Le niveau de chiffrement est adapté à la méthode de chiffrement utilisée. Les exemples de réseaux ouverts et publics comprennent, sans toutefois s'y limiter : • Internet • Les technologies sans fil, notamment 802.11 et Bluetooth • Les technologies cellulaires, par exemple, le système mondial de communications mobiles (GSM), l'accès multiple par répartition en code (CDMA) • Le service général de radiocommunication par paquets (GPRS) • Les communications par satellite | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes. | |
4.1 | Utilisez un chiffrement et des protocoles de sécurité robustes pour protéger les données sensibles de titulaires de cartes lors de leur transmission sur des réseaux ouverts et publics, notamment les suivants : • Seuls les clés et les certificats de confiance sont acceptés. • Le protocole utilisé ne prend en charge que des versions ou des configurations sécurisées. • Le niveau de chiffrement est adapté à la méthode de chiffrement utilisée. Les exemples de réseaux ouverts et publics comprennent, sans toutefois s'y limiter : • Internet • Les technologies sans fil, notamment 802.11 et Bluetooth • Les technologies cellulaires, par exemple, le système mondial de communications mobiles (GSM), l'accès multiple par répartition en code (CDMA) • Le service général de radiocommunication par paquets (GPRS) • Les communications par satellite | Étant donné que des données sensibles peuvent exister et pour protéger les données en transit, assurez-vous que le protocole HTTPS est activé pour les connexions à vos domaines Amazon OpenSearch Service. | |
4.1 | Utilisez un chiffrement et des protocoles de sécurité robustes pour protéger les données sensibles de titulaires de cartes lors de leur transmission sur des réseaux ouverts et publics, notamment les suivants : • Seuls les clés et les certificats de confiance sont acceptés. • Le protocole utilisé ne prend en charge que des versions ou des configurations sécurisées. • Le niveau de chiffrement est adapté à la méthode de chiffrement utilisée. Les exemples de réseaux ouverts et publics comprennent, sans toutefois s'y limiter : • Internet • Les technologies sans fil, notamment 802.11 et Bluetooth • Les technologies cellulaires, par exemple, le système mondial de communications mobiles (GSM), l'accès multiple par répartition en code (CDMA) • Le service général de radiocommunication par paquets (GPRS) • Les communications par satellite | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
4.1 | Utilisez un chiffrement et des protocoles de sécurité robustes pour protéger les données sensibles de titulaires de cartes lors de leur transmission sur des réseaux ouverts et publics, notamment les suivants : • Seuls les clés et les certificats de confiance sont acceptés. • Le protocole utilisé ne prend en charge que des versions ou des configurations sécurisées. • Le niveau de chiffrement est adapté à la méthode de chiffrement utilisée. Les exemples de réseaux ouverts et publics comprennent, sans toutefois s'y limiter : • Internet • Les technologies sans fil, notamment 802.11 et Bluetooth • Les technologies cellulaires, par exemple, le système mondial de communications mobiles (GSM), l'accès multiple par répartition en code (CDMA) • Le service général de radiocommunication par paquets (GPRS) • Les communications par satellite | Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
4.1 | Utilisez un chiffrement et des protocoles de sécurité robustes pour protéger les données sensibles de titulaires de cartes lors de leur transmission sur des réseaux ouverts et publics, notamment les suivants : • Seuls les clés et les certificats de confiance sont acceptés. • Le protocole utilisé ne prend en charge que des versions ou des configurations sécurisées. • Le niveau de chiffrement est adapté à la méthode de chiffrement utilisée. Les exemples de réseaux ouverts et publics comprennent, sans toutefois s'y limiter : • Internet • Les technologies sans fil, notamment 802.11 et Bluetooth • Les technologies cellulaires, par exemple, le système mondial de communications mobiles (GSM), l'accès multiple par répartition en code (CDMA) • Le service général de radiocommunication par paquets (GPRS) • Les communications par satellite | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
6.2 | Assurez-vous que tous les composants système et logiciels sont protégés contre les vulnérabilités connues en installant les correctifs de sécurité fournis par le fournisseur. Installez les correctifs de sécurité critiques dans le mois qui suit leur publication. Remarque : Les correctifs de sécurité critiques doivent être identifiés conformément à la procédure de classement des risques définie dans l'exigence 6.1. | L'activation des mises à jour de plateforme gérées pour un environnement Amazon Elastic Beanstalk garantit l'installation des derniers correctifs, mises à jour et fonctionnalités de la plateforme disponibles pour l'environnement. La sécurisation des systèmes passe par la mise à jour de l'installation des correctifs. | |
6.2 | Assurez-vous que tous les composants système et logiciels sont protégés contre les vulnérabilités connues en installant les correctifs de sécurité fournis par le fournisseur. Installez les correctifs de sécurité critiques dans le mois qui suit leur publication. Remarque : Les correctifs de sécurité critiques doivent être identifiés conformément à la procédure de classement des risques définie dans l'exigence 6.1. | Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des niveaux de référence pour les niveaux de correctifs du système d'exploitation, les installations de logiciels, les configurations d'applications et d'autres informations relatives à votre environnement. | |
6.2 | Assurez-vous que tous les composants système et logiciels sont protégés contre les vulnérabilités connues en installant les correctifs de sécurité fournis par le fournisseur. Installez les correctifs de sécurité critiques dans le mois qui suit leur publication. Remarque : Les correctifs de sécurité critiques doivent être identifiés conformément à la procédure de classement des risques définie dans l'exigence 6.1. | Activez cette règle pour faciliter l'identification et la documentation des vulnérabilités d'Amazon Elastic Compute Cloud (Amazon EC2). La règle vérifie si les correctifs d'instance Amazon EC2 sont conformes dans AWS Systems Manager conformément aux politiques et procédures de votre entreprise. | |
6.2 | Assurez-vous que tous les composants système et logiciels sont protégés contre les vulnérabilités connues en installant les correctifs de sécurité fournis par le fournisseur. Installez les correctifs de sécurité critiques dans le mois qui suit leur publication. Remarque : Les correctifs de sécurité critiques doivent être identifiés conformément à la procédure de classement des risques définie dans l'exigence 6.1. | Les mises à jour de sécurité et les correctifs sont déployés automatiquement pour vos tâches AWS Fargate. Si un problème de sécurité affectant une version de la plateforme AWS Fargate est détecté AWS , corrige la version de la plate-forme. Pour faciliter la gestion des correctifs de vos tâches Amazon Elastic Container Service (ECS) exécutant AWS Fargate, mettez à jour les tâches autonomes de vos services afin d'utiliser la version la plus récente de la plateforme. | |
6.2 | Assurez-vous que tous les composants système et logiciels sont protégés contre les vulnérabilités connues en installant les correctifs de sécurité fournis par le fournisseur. Installez les correctifs de sécurité critiques dans le mois qui suit leur publication. Remarque : Les correctifs de sécurité critiques doivent être identifiés conformément à la procédure de classement des risques définie dans l'exigence 6.1. | Activez les mises à niveau automatiques des versions mineures sur vos instances Amazon Relational Database Service (RDS) pour vous assurer que les dernières mises à jour mineures du système de gestion de base de données relationnelle (RDBMS) sont installées, lesquelles peuvent inclure des correctifs de sécurité et des correctifs de bogues. | |
6.2 | Assurez-vous que tous les composants système et logiciels sont protégés contre les vulnérabilités connues en installant les correctifs de sécurité fournis par le fournisseur. Installez les correctifs de sécurité critiques dans le mois qui suit leur publication. Remarque : Les correctifs de sécurité critiques doivent être identifiés conformément à la procédure de classement des risques définie dans l'exigence 6.1. | Cette règle garantit que les clusters Amazon Redshift disposent des paramètres préférés de votre organisation. Plus précisément, qu'ils disposent de fenêtres de maintenance préférées et de périodes de conservation des instantanés automatisées pour la base de données. Cette règle vous oblige à définir le allowVersionUpgrade. Par défaut, la valeur est true. Il vous permet également de définir éventuellement le preferredMaintenanceWindow (la valeur par défaut est samedi : 16h00 - samedi : 16h30) et la automatedSnapshotRetention période (la valeur par défaut est 1). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
6.3.2 | Passez en revue le code personnalisé avant sa diffusion à la production ou aux clients afin d'identifier toute vulnérabilité de codage potentielle (à l'aide de procédures manuelles ou automatisées), de manière à inclure au moins les éléments suivants : • Les modifications du code sont examinées par des personnes autres que l'auteur du code d'origine et par des personnes connaissant les techniques d'examen du code et les pratiques de codage sécurisé. • Les examens du code garantissent que le code est développé conformément aux directives de codage sécurisé • Les corrections appropriées sont mises en œuvre avant la publication. • Les résultats de l'examen du code sont passés en revue et approuvés par la direction avant leur publication. (Suite à la page suivante) | La numérisation d'images Amazon Elastic Container Repository (ECR) permet d'identifier les vulnérabilités logicielles dans vos images de conteneur. L'activation de la numérisation d'images dans les référentiels ECR ajoute une couche de vérification de l'intégrité et de la sécurité des images stockées. | |
6,6 | Pour les applications Web destinées au public, traitez les nouvelles menaces et vulnérabilités de manière continue et assurez-vous que ces applications sont protégées contre les attaques connues par l'une des méthodes suivantes : • Examen des applications Web destinées au public à l'aide d'outils ou de méthodes manuels ou automatisés d'évaluation des vulnérabilités des applications, au moins une fois par an et après toute modification. Remarque : Cette évaluation n'est pas identique aux analyses de vulnérabilité effectuées pour l'exigence 11.2. • Installation d'une solution technique automatisée qui détecte et empêche les attaques basées sur le web (par exemple, un pare-feu d'application web) devant les applications web orientées vers le public, afin de contrôler en permanence l'ensemble du trafic. | Pour faciliter la protection des applications contre les vulnérabilités HTTP Desync, assurez-vous que le mode d'atténuation HTTP Desync est activé sur vos équilibreurs de charge d'application. Les problèmes de désynchronisation HTTP peuvent entraîner la dissimulation de requêtes et rendre vos applications vulnérables à l'empoisonnement de la file d'attente des requêtes ou du cache. Les modes d'atténuation de désynchronisation sont Moniteur, Défensif et Le plus strict. Le mode défensif est le mode par défaut. | |
6,6 | Pour les applications Web destinées au public, traitez les nouvelles menaces et vulnérabilités de manière continue et assurez-vous que ces applications sont protégées contre les attaques connues par l'une des méthodes suivantes : • Examen des applications Web destinées au public à l'aide d'outils ou de méthodes manuels ou automatisés d'évaluation des vulnérabilités des applications, au moins une fois par an et après toute modification. Remarque : Cette évaluation n'est pas identique aux analyses de vulnérabilité effectuées pour l'exigence 11.2. • Installation d'une solution technique automatisée qui détecte et empêche les attaques basées sur le web (par exemple, un pare-feu d'application web) devant les applications web orientées vers le public, afin de contrôler en permanence l'ensemble du trafic. | Assurez-vous que AWS le WAF est activé sur les Elastic Load Balancers (ELB) pour protéger les applications Web. Un WAF aide à protéger vos applications Web ou API contre les menaces Web courantes. Ces attaques web peuvent affecter la disponibilité, compromettre la sécurité ou consommer des ressources excessives dans votre environnement. | |
6,6 | Pour les applications Web destinées au public, traitez les nouvelles menaces et vulnérabilités de manière continue et assurez-vous que ces applications sont protégées contre les attaques connues par l'une des méthodes suivantes : • Examen des applications Web destinées au public à l'aide d'outils ou de méthodes manuels ou automatisés d'évaluation des vulnérabilités des applications, au moins une fois par an et après toute modification. Remarque : Cette évaluation n'est pas identique aux analyses de vulnérabilité effectuées pour l'exigence 11.2. • Installation d'une solution technique automatisée qui détecte et empêche les attaques basées sur le web (par exemple, un pare-feu d'application web) devant les applications web orientées vers le public, afin de contrôler en permanence l'ensemble du trafic. | AWS Le WAF vous permet de configurer un ensemble de règles (appelé liste de contrôle d'accès Web (ACL Web)) qui autorisent, bloquent ou comptent les requêtes Web en fonction de règles et de conditions de sécurité Web personnalisables que vous définissez. Assurez-vous que votre étape Amazon API Gateway est associée à une liste ACL Web WAF pour la protéger contre les attaques malveillantes | |
6,6 | Pour les applications Web destinées au public, traitez les nouvelles menaces et vulnérabilités de manière continue et assurez-vous que ces applications sont protégées contre les attaques connues par l'une des méthodes suivantes : • Examen des applications Web destinées au public à l'aide d'outils ou de méthodes manuels ou automatisés d'évaluation des vulnérabilités des applications, au moins une fois par an et après toute modification. Remarque : Cette évaluation n'est pas identique aux analyses de vulnérabilité effectuées pour l'exigence 11.2. • Installation d'une solution technique automatisée qui détecte et empêche les attaques basées sur le web (par exemple, un pare-feu d'application web) devant les applications web orientées vers le public, afin de contrôler en permanence l'ensemble du trafic. | Assurez-vous que votre AWS WAF possède une règle qui n'est pas vide. Une règle sans conditions peut entraîner un comportement involontaire. | |
6,6 | Pour les applications Web destinées au public, traitez les nouvelles menaces et vulnérabilités de manière continue et assurez-vous que ces applications sont protégées contre les attaques connues par l'une des méthodes suivantes : • Examen des applications Web destinées au public à l'aide d'outils ou de méthodes manuels ou automatisés d'évaluation des vulnérabilités des applications, au moins une fois par an et après toute modification. Remarque : Cette évaluation n'est pas identique aux analyses de vulnérabilité effectuées pour l'exigence 11.2. • Installation d'une solution technique automatisée qui détecte et empêche les attaques basées sur le web (par exemple, un pare-feu d'application web) devant les applications web orientées vers le public, afin de contrôler en permanence l'ensemble du trafic. | Assurez-vous que votre AWS WAF possède un groupe de règles qui n'est pas vide. Un groupe de règles vide peut entraîner un comportement involontaire. | |
6,6 | Pour les applications Web destinées au public, traitez les nouvelles menaces et vulnérabilités de manière continue et assurez-vous que ces applications sont protégées contre les attaques connues par l'une des méthodes suivantes : • Examen des applications Web destinées au public à l'aide d'outils ou de méthodes manuels ou automatisés d'évaluation des vulnérabilités des applications, au moins une fois par an et après toute modification. Remarque : Cette évaluation n'est pas identique aux analyses de vulnérabilité effectuées pour l'exigence 11.2. • Installation d'une solution technique automatisée qui détecte et empêche les attaques basées sur le web (par exemple, un pare-feu d'application web) devant les applications web orientées vers le public, afin de contrôler en permanence l'ensemble du trafic. | Une ACL Web attachée à un AWS WAF peut contenir un ensemble de règles et de groupes de règles pour inspecter et contrôler les requêtes Web. Si une liste ACL Web est vide, le trafic Web n'est pas détecté ni traité par le WAF. | |
7.1.1 | Définissez les besoins d'accès pour chaque rôle, notamment : • Les composants système et les ressources de données auxquels chaque rôle doit accéder dans le cadre de sa fonction • Le niveau de privilège requis (par exemple, utilisateur, administrateur, etc.) pour accéder aux ressources. | Pour faciliter la mise en œuvre du principe du moindre privilège, assurez-vous qu'un utilisateur non root dispose d'un accès à vos définitions de tâches Amazon Elastic Container Service (Amazon ECS). | |
7.1.1 | Définissez les besoins d'accès pour chaque rôle, notamment : • Les composants système et les ressources de données auxquels chaque rôle doit accéder dans le cadre de sa fonction • Le niveau de privilège requis (par exemple, utilisateur, administrateur, etc.) pour accéder aux ressources. | Cette règle vérifie si les listes de contrôle d'accès (ACL) sont utilisées pour contrôler l'accès aux compartiments Amazon S3. Les ACL sont des mécanismes de contrôle d'accès existants pour les compartiments Amazon S3 antérieurs à AWS Identity and Access Management (IAM). Au lieu d'utiliser des listes ACL, il est recommandé d'utiliser des politiques IAM ou des politiques de compartiment S3 pour gérer plus facilement l'accès à vos compartiments S3. | |
7.1.1 | Définissez les besoins d'accès pour chaque rôle, notamment : • Les composants système et les ressources de données auxquels chaque rôle doit accéder dans le cadre de sa fonction • Le niveau de privilège requis (par exemple, utilisateur, administrateur, etc.) pour accéder aux ressources. | Pour faciliter la mise en œuvre du principe du moindre privilège, les définitions de tâches Amazon Elastic Container Service (Amazon ECS) ne doivent pas comporter de privilèges élevés. Quand ce paramètre a la valeur true, le conteneur dispose de droits élevés sur l'instance de conteneur hôte (similaire à l'utilisateur root). | |
7.1.1 | Définissez les besoins d'accès pour chaque rôle, notamment : • Les composants système et les ressources de données auxquels chaque rôle doit accéder dans le cadre de sa fonction • Le niveau de privilège requis (par exemple, utilisateur, administrateur, etc.) pour accéder aux ressources. | L'activation de l'accès en lecture seule aux conteneurs Amazon Elastic Container Service (ECS) permet de respecter le principe du moindre privilège. Cette option peut réduire les vecteurs d'attaque, car le système de fichiers de l'instance de conteneur ne peut être modifié que s'il dispose d'autorisations explicites de lecture et d'écriture. | |
7.1.1 | Définissez les besoins d'accès pour chaque rôle, notamment : • Les composants système et les ressources de données auxquels chaque rôle doit accéder dans le cadre de sa fonction • Le niveau de privilège requis (par exemple, utilisateur, administrateur, etc.) pour accéder aux ressources. | Utiliser un répertoire racine pour un point d'accès Amazon Elastic File System (Amazon EFS) permet de restreindre l'accès aux données en veillant à ce que les utilisateurs du point d'accès ne puissent accéder qu'aux fichiers du sous-répertoire spécifié. | |
7.1.1 | Définissez les besoins d'accès pour chaque rôle, notamment : • Les composants système et les ressources de données auxquels chaque rôle doit accéder dans le cadre de sa fonction • Le niveau de privilège requis (par exemple, utilisateur, administrateur, etc.) pour accéder aux ressources. | Pour faciliter la mise en œuvre du principe du moindre privilège, assurez-vous que l'application des utilisateurs est activée pour votre Amazon Elastic File System (Amazon EFS). Lorsque cette option est activée, Amazon EFS remplace les ID utilisateur et de groupe du client NFS par l'identité configurée sur le point d'accès pour toutes les opérations du système de fichiers et n'accorde l'accès qu'à cette identité d'utilisateur appliquée. | |
7.1.1 | Définissez les besoins d'accès pour chaque rôle, notamment : • Les composants système et les ressources de données auxquels chaque rôle doit accéder dans le cadre de sa fonction • Le niveau de privilège requis (par exemple, utilisateur, administrateur, etc.) pour accéder aux ressources. | Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal. | |
7.1.1 | Définissez les besoins d'accès pour chaque rôle, notamment : • Les composants système et les ressources de données auxquels chaque rôle doit accéder dans le cadre de sa fonction • Le niveau de privilège requis (par exemple, utilisateur, administrateur, etc.) pour accéder aux ressources. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms :). ReEncryptFrom Les valeurs réelles doivent refléter les politiques de votre organisation | |
7.1.1 | Définissez les besoins d'accès pour chaque rôle, notamment : • Les composants système et les ressources de données auxquels chaque rôle doit accéder dans le cadre de sa fonction • Le niveau de privilège requis (par exemple, utilisateur, administrateur, etc.) pour accéder aux ressources. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège. | |
7.1.1 | Définissez les besoins d'accès pour chaque rôle, notamment : • Les composants système et les ressources de données auxquels chaque rôle doit accéder dans le cadre de sa fonction • Le niveau de privilège requis (par exemple, utilisateur, administrateur, etc.) pour accéder aux ressources. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms :). ReEncryptFrom Les valeurs réelles doivent refléter les politiques de votre organisation. | |
7.1.1 | Définissez les besoins d'accès pour chaque rôle, notamment : • Les composants système et les ressources de données auxquels chaque rôle doit accéder dans le cadre de sa fonction • Le niveau de privilège requis (par exemple, utilisateur, administrateur, etc.) pour accéder aux ressources. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
7.1.1 | Définissez les besoins d'accès pour chaque rôle, notamment : • Les composants système et les ressources de données auxquels chaque rôle doit accéder dans le cadre de sa fonction • Le niveau de privilège requis (par exemple, utilisateur, administrateur, etc.) pour accéder aux ressources. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
7.1.1 | Définissez les besoins d'accès pour chaque rôle, notamment : • Les composants système et les ressources de données auxquels chaque rôle doit accéder dans le cadre de sa fonction • Le niveau de privilège requis (par exemple, utilisateur, administrateur, etc.) pour accéder aux ressources. | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
7.1.1 | Définissez les besoins d'accès pour chaque rôle, notamment : • Les composants système et les ressources de données auxquels chaque rôle doit accéder dans le cadre de sa fonction • Le niveau de privilège requis (par exemple, utilisateur, administrateur, etc.) pour accéder aux ressources. | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité. | |
7.1.1 | Définissez les besoins d'accès pour chaque rôle, notamment : • Les composants système et les ressources de données auxquels chaque rôle doit accéder dans le cadre de sa fonction • Le niveau de privilège requis (par exemple, utilisateur, administrateur, etc.) pour accéder aux ressources. | AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et les autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
7.1.1 | Définissez les besoins d'accès pour chaque rôle, notamment : • Les composants système et les ressources de données auxquels chaque rôle doit accéder dans le cadre de sa fonction • Le niveau de privilège requis (par exemple, utilisateur, administrateur, etc.) pour accéder aux ressources. | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
7.1.1 | Définissez les besoins d'accès pour chaque rôle, notamment : • Les composants système et les ressources de données auxquels chaque rôle doit accéder dans le cadre de sa fonction • Le niveau de privilège requis (par exemple, utilisateur, administrateur, etc.) pour accéder aux ressources. | Assurez-vous que le contrôle d'accès détaillé est activé sur vos domaines Amazon OpenSearch Service. Le contrôle d'accès précis fournit des mécanismes d'autorisation améliorés pour obtenir un accès moins privilégié aux domaines Amazon Service. OpenSearch Il permet un contrôle d'accès au domaine basé sur les rôles, ainsi que la sécurité au niveau des index, des documents et des champs, la prise en charge des tableaux de bord de OpenSearch service, la mutualisation des tableaux de bord des services et l'authentification HTTP de base pour Service et Kibana. OpenSearch | |
7.1.2 | Limitez l'accès aux ID d'utilisateurs privilégiés aux privilèges minimaux nécessaires à l'exercice de leurs responsabilités professionnelles. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms :). ReEncryptFrom Les valeurs réelles doivent refléter les politiques de votre organisation | |
7.1.2 | Limitez l'accès aux ID d'utilisateurs privilégiés aux privilèges minimaux nécessaires à l'exercice de leurs responsabilités professionnelles. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège. | |
7.1.2 | Limitez l'accès aux ID d'utilisateurs privilégiés aux privilèges minimaux nécessaires à l'exercice de leurs responsabilités professionnelles. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms :). ReEncryptFrom Les valeurs réelles doivent refléter les politiques de votre organisation. | |
7.1.2 | Limitez l'accès aux ID d'utilisateurs privilégiés aux privilèges minimaux nécessaires à l'exercice de leurs responsabilités professionnelles. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
7.1.2 | Limitez l'accès aux ID d'utilisateurs privilégiés aux privilèges minimaux nécessaires à l'exercice de leurs responsabilités professionnelles. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
7.1.2 | Limitez l'accès aux ID d'utilisateurs privilégiés aux privilèges minimaux nécessaires à l'exercice de leurs responsabilités professionnelles. | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
7.1.2 | Limitez l'accès aux ID d'utilisateurs privilégiés aux privilèges minimaux nécessaires à l'exercice de leurs responsabilités professionnelles. | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité. | |
7.1.2 | Limitez l'accès aux ID d'utilisateurs privilégiés aux privilèges minimaux nécessaires à l'exercice de leurs responsabilités professionnelles. | AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et les autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
7.1.2 | Limitez l'accès aux ID d'utilisateurs privilégiés aux privilèges minimaux nécessaires à l'exercice de leurs responsabilités professionnelles. | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
7.2.1 | Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce système de contrôle d'accès doit comprendre les éléments suivants : Couverture de tous les composants système | Pour faciliter la mise en œuvre du principe du moindre privilège, les définitions de tâches Amazon Elastic Container Service (Amazon ECS) ne doivent pas comporter de privilèges élevés. Quand ce paramètre a la valeur true, le conteneur dispose de droits élevés sur l'instance de conteneur hôte (similaire à l'utilisateur root). | |
7.2.1 | Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce système de contrôle d'accès doit comprendre les éléments suivants : Couverture de tous les composants système | L'activation de l'accès en lecture seule aux conteneurs Amazon Elastic Container Service (ECS) permet de respecter le principe du moindre privilège. Cette option peut réduire les vecteurs d'attaque, car le système de fichiers de l'instance de conteneur ne peut être modifié que s'il dispose d'autorisations explicites de lecture et d'écriture. | |
7.2.1 | Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce système de contrôle d'accès doit comprendre les éléments suivants : Couverture de tous les composants système | Utiliser un répertoire racine pour un point d'accès Amazon Elastic File System (Amazon EFS) permet de restreindre l'accès aux données en veillant à ce que les utilisateurs du point d'accès ne puissent accéder qu'aux fichiers du sous-répertoire spécifié. | |
7.2.1 | Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce système de contrôle d'accès doit comprendre les éléments suivants : Couverture de tous les composants système | Pour faciliter la mise en œuvre du principe du moindre privilège, assurez-vous que l'application des utilisateurs est activée pour votre Amazon Elastic File System (Amazon EFS). Lorsque cette option est activée, Amazon EFS remplace les ID utilisateur et de groupe du client NFS par l'identité configurée sur le point d'accès pour toutes les opérations du système de fichiers et n'accorde l'accès qu'à cette identité d'utilisateur appliquée. | |
7.2.1 | Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce système de contrôle d'accès doit comprendre les éléments suivants : Couverture de tous les composants système | Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal. | |
7.2.1 | Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce système de contrôle d'accès doit comprendre les éléments suivants : Couverture de tous les composants système | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms :). ReEncryptFrom Les valeurs réelles doivent refléter les politiques de votre organisation | |
7.2.1 | Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce système de contrôle d'accès doit comprendre les éléments suivants : Couverture de tous les composants système | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège. | |
7.2.1 | Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce système de contrôle d'accès doit comprendre les éléments suivants : Couverture de tous les composants système | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms :). ReEncryptFrom Les valeurs réelles doivent refléter les politiques de votre organisation. | |
7.2.1 | Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce système de contrôle d'accès doit comprendre les éléments suivants : Couverture de tous les composants système | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
7.2.1 | Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce système de contrôle d'accès doit comprendre les éléments suivants : Couverture de tous les composants système | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
7.2.1 | Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce système de contrôle d'accès doit comprendre les éléments suivants : Couverture de tous les composants système | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
7.2.1 | Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce système de contrôle d'accès doit comprendre les éléments suivants : Couverture de tous les composants système | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité. | |
7.2.1 | Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce système de contrôle d'accès doit comprendre les éléments suivants : Couverture de tous les composants système | AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et les autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
7.2.1 | Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce système de contrôle d'accès doit comprendre les éléments suivants : Couverture de tous les composants système | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
7.2.1 | Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce système de contrôle d'accès doit comprendre les éléments suivants : Couverture de tous les composants système | Assurez-vous que le contrôle d'accès détaillé est activé sur vos domaines Amazon OpenSearch Service. Le contrôle d'accès précis fournit des mécanismes d'autorisation améliorés pour obtenir un accès moins privilégié aux domaines Amazon Service. OpenSearch Il permet un contrôle d'accès au domaine basé sur les rôles, ainsi que la sécurité au niveau des index, des documents et des champs, la prise en charge des tableaux de bord de OpenSearch service, la mutualisation des tableaux de bord des services et l'authentification HTTP de base pour Service et Kibana. OpenSearch | |
7.2.2 | Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce ou ces systèmes de contrôle des accès doivent comprendre les éléments suivants : Attribution de privilèges aux personnes en fonction de leur classification professionnelle et de leur fonction. | Pour faciliter la mise en œuvre du principe du moindre privilège, les définitions de tâches Amazon Elastic Container Service (Amazon ECS) ne doivent pas comporter de privilèges élevés. Quand ce paramètre a la valeur true, le conteneur dispose de droits élevés sur l'instance de conteneur hôte (similaire à l'utilisateur root). | |
7.2.2 | Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce ou ces systèmes de contrôle des accès doivent comprendre les éléments suivants : Attribution de privilèges aux personnes en fonction de leur classification professionnelle et de leur fonction. | L'activation de l'accès en lecture seule aux conteneurs Amazon Elastic Container Service (ECS) permet de respecter le principe du moindre privilège. Cette option peut réduire les vecteurs d'attaque, car le système de fichiers de l'instance de conteneur ne peut être modifié que s'il dispose d'autorisations explicites de lecture et d'écriture. | |
7.2.2 | Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce ou ces systèmes de contrôle des accès doivent comprendre les éléments suivants : Attribution de privilèges aux personnes en fonction de leur classification professionnelle et de leur fonction. | Utiliser un répertoire racine pour un point d'accès Amazon Elastic File System (Amazon EFS) permet de restreindre l'accès aux données en veillant à ce que les utilisateurs du point d'accès ne puissent accéder qu'aux fichiers du sous-répertoire spécifié. | |
7.2.2 | Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce ou ces systèmes de contrôle des accès doivent comprendre les éléments suivants : Attribution de privilèges aux personnes en fonction de leur classification professionnelle et de leur fonction. | Pour faciliter la mise en œuvre du principe du moindre privilège, assurez-vous que l'application des utilisateurs est activée pour votre Amazon Elastic File System (Amazon EFS). Lorsque cette option est activée, Amazon EFS remplace les ID utilisateur et de groupe du client NFS par l'identité configurée sur le point d'accès pour toutes les opérations du système de fichiers et n'accorde l'accès qu'à cette identité d'utilisateur appliquée. | |
7.2.2 | Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce ou ces systèmes de contrôle des accès doivent comprendre les éléments suivants : Attribution de privilèges aux personnes en fonction de leur classification professionnelle et de leur fonction. | Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal. | |
7.2.2 | Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce ou ces systèmes de contrôle des accès doivent comprendre les éléments suivants : Attribution de privilèges aux personnes en fonction de leur classification professionnelle et de leur fonction. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms :). ReEncryptFrom Les valeurs réelles doivent refléter les politiques de votre organisation | |
7.2.2 | Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce ou ces systèmes de contrôle des accès doivent comprendre les éléments suivants : Attribution de privilèges aux personnes en fonction de leur classification professionnelle et de leur fonction. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège. | |
7.2.2 | Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce ou ces systèmes de contrôle des accès doivent comprendre les éléments suivants : Attribution de privilèges aux personnes en fonction de leur classification professionnelle et de leur fonction. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms :). ReEncryptFrom Les valeurs réelles doivent refléter les politiques de votre organisation. | |
7.2.2 | Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce ou ces systèmes de contrôle des accès doivent comprendre les éléments suivants : Attribution de privilèges aux personnes en fonction de leur classification professionnelle et de leur fonction. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
7.2.2 | Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce ou ces systèmes de contrôle des accès doivent comprendre les éléments suivants : Attribution de privilèges aux personnes en fonction de leur classification professionnelle et de leur fonction. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
7.2.2 | Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce ou ces systèmes de contrôle des accès doivent comprendre les éléments suivants : Attribution de privilèges aux personnes en fonction de leur classification professionnelle et de leur fonction. | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
7.2.2 | Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce ou ces systèmes de contrôle des accès doivent comprendre les éléments suivants : Attribution de privilèges aux personnes en fonction de leur classification professionnelle et de leur fonction. | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité. | |
7.2.2 | Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce ou ces systèmes de contrôle des accès doivent comprendre les éléments suivants : Attribution de privilèges aux personnes en fonction de leur classification professionnelle et de leur fonction. | AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et les autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
7.2.2 | Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce ou ces systèmes de contrôle des accès doivent comprendre les éléments suivants : Attribution de privilèges aux personnes en fonction de leur classification professionnelle et de leur fonction. | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
7.2.2 | Établissez un système de contrôle d'accès pour les composants système qui limite l'accès en fonction du besoin d'informations de l'utilisateur et qui est défini sur « tout refuser » sauf autorisation expresse. Ce ou ces systèmes de contrôle des accès doivent comprendre les éléments suivants : Attribution de privilèges aux personnes en fonction de leur classification professionnelle et de leur fonction. | Assurez-vous que le contrôle d'accès détaillé est activé sur vos domaines Amazon OpenSearch Service. Le contrôle d'accès précis fournit des mécanismes d'autorisation améliorés pour obtenir un accès moins privilégié aux domaines Amazon Service. OpenSearch Il permet un contrôle d'accès au domaine basé sur les rôles, ainsi que la sécurité au niveau des index, des documents et des champs, la prise en charge des tableaux de bord de OpenSearch service, la mutualisation des tableaux de bord des services et l'authentification HTTP de base pour Service et Kibana. OpenSearch | |
7.2.3 | Paramètre « Tout refuser » par défaut. | Cette règle vérifie si les listes de contrôle d'accès (ACL) sont utilisées pour contrôler l'accès aux compartiments Amazon S3. Les ACL sont des mécanismes de contrôle d'accès existants pour les compartiments Amazon S3 antérieurs à AWS Identity and Access Management (IAM). Au lieu d'utiliser des listes ACL, il est recommandé d'utiliser des politiques IAM ou des politiques de compartiment S3 pour gérer plus facilement l'accès à vos compartiments S3. | |
8.1.1 | Attribuez à tous les utilisateurs un ID unique avant de leur permettre d'accéder aux composants système ou aux données de titulaires de cartes. | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité. | |
8.1.4 | Supprimez/désactivez les comptes utilisateurs inactifs dans un délai de 90 jours. | AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
8.2.1 | À l'aide d'un chiffrement fort, rendez illisibles toutes les informations d'authentification (comme les mots de passe/expressions) pendant la transmission et le stockage sur tous les composants système. | Pour faciliter la mise en œuvre du principe du moindre privilège, assurez-vous que le mode privilégié n'est pas activé dans votre environnement de CodeBuild projet Amazon. Ce paramètre doit être désactivé pour empêcher tout accès imprévu aux API Docker ainsi qu'au matériel sous-jacent du conteneur. | |
8.2.1 | À l'aide d'un chiffrement fort, rendez illisibles toutes les informations d'authentification (comme les mots de passe/expressions) pendant la transmission et le stockage sur tous les composants système. | La pratique exemplaire en matière de sécurité consiste à transmettre les informations sensibles aux conteneurs sous la forme de variables d'environnement. Vous pouvez injecter des données en toute sécurité dans vos conteneurs Amazon Elastic Container Service (ECS) en référençant les valeurs stockées dans AWS le Parameter Store ou dans le AWS Secrets Manager dans la définition de conteneur d'une définition de tâche Amazon ECS. Vous pouvez ensuite exposer vos informations sensibles en tant que variables d'environnement ou dans la configuration de journal d'un conteneur. | |
8.2.1 | À l'aide d'un chiffrement fort, rendez illisibles toutes les informations d'authentification (comme les mots de passe/expressions) pendant la transmission et le stockage sur tous les composants système. | Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
8.2.1 | À l'aide d'un chiffrement fort, rendez illisibles toutes les informations d'authentification (comme les mots de passe/expressions) pendant la transmission et le stockage sur tous les composants système. | Assurez-vous que les étapes de l'API REST Amazon API Gateway sont configurées avec des certificats SSL pour permettre aux systèmes backend d'authentifier que les demandes proviennent d'API Gateway. | |
8.2.1 | À l'aide d'un chiffrement fort, rendez illisibles toutes les informations d'authentification (comme les mots de passe/expressions) pendant la transmission et le stockage sur tous les composants système. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données. | |
8.2.1 | À l'aide d'un chiffrement fort, rendez illisibles toutes les informations d'authentification (comme les mots de passe/expressions) pendant la transmission et le stockage sur tous les composants système. | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour votre Amazon Elastic File System (EFS). | |
8.2.1 | À l'aide d'un chiffrement fort, rendez illisibles toutes les informations d'authentification (comme les mots de passe/expressions) pendant la transmission et le stockage sur tous les composants système. | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch OpenSearch Service (Service). | |
8.2.1 | À l'aide d'un chiffrement fort, rendez illisibles toutes les informations d'authentification (comme les mots de passe/expressions) pendant la transmission et le stockage sur tous les composants système. | Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
8.2.1 | À l'aide d'un chiffrement fort, rendez illisibles toutes les informations d'authentification (comme les mots de passe/expressions) pendant la transmission et le stockage sur tous les composants système. | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). | |
8.2.1 | À l'aide d'un chiffrement fort, rendez illisibles toutes les informations d'authentification (comme les mots de passe/expressions) pendant la transmission et le stockage sur tous les composants système. | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch Service. | |
8.2.1 | À l'aide d'un chiffrement fort, rendez illisibles toutes les informations d'authentification (comme les mots de passe/expressions) pendant la transmission et le stockage sur tous les composants système. | Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données. | |
8.2.1 | À l'aide d'un chiffrement fort, rendez illisibles toutes les informations d'authentification (comme les mots de passe/expressions) pendant la transmission et le stockage sur tous les composants système. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos dans les instances Amazon RDS, activez le chiffrement au repos pour protéger ces données. | |
8.2.1 | À l'aide d'un chiffrement fort, rendez illisibles toutes les informations d'authentification (comme les mots de passe/expressions) pendant la transmission et le stockage sur tous les composants système. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
8.2.1 | À l'aide d'un chiffrement fort, rendez illisibles toutes les informations d'authentification (comme les mots de passe/expressions) pendant la transmission et le stockage sur tous les composants système. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données. | |
8.2.1 | À l'aide d'un chiffrement fort, rendez illisibles toutes les informations d'authentification (comme les mots de passe/expressions) pendant la transmission et le stockage sur tous les composants système. | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
8.2.1 | À l'aide d'un chiffrement fort, rendez illisibles toutes les informations d'authentification (comme les mots de passe/expressions) pendant la transmission et le stockage sur tous les composants système. | Assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans un compartiment Amazon S3, activez le chiffrement au repos pour protéger ces données. | |
8.2.1 | À l'aide d'un chiffrement fort, rendez illisibles toutes les informations d'authentification (comme les mots de passe/expressions) pendant la transmission et le stockage sur tous les composants système. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker terminal. Étant donné que les données sensibles peuvent exister au repos sur le SageMaker terminal, activez le chiffrement au repos pour protéger ces données. | |
8.2.1 | À l'aide d'un chiffrement fort, rendez illisibles toutes les informations d'authentification (comme les mots de passe/expressions) pendant la transmission et le stockage sur tous les composants système. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker ordinateur portable. Étant donné que des données sensibles peuvent exister au repos dans le SageMaker bloc-notes, activez le chiffrement au repos pour protéger ces données. | |
8.2.1 | À l'aide d'un chiffrement fort, rendez illisibles toutes les informations d'authentification (comme les mots de passe/expressions) pendant la transmission et le stockage sur tous les composants système. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le AWS Key Management Service (AWS KMS) est activé pour les AWS secrets de Secrets Manager. Comme il peut y avoir des données sensibles au repos dans les secrets de Secrets Manager, activez le chiffrement au repos pour protéger ces données. | |
8.2.1 | À l'aide d'un chiffrement fort, rendez illisibles toutes les informations d'authentification (comme les mots de passe/expressions) pendant la transmission et le stockage sur tous les composants système. | Pour protéger les données au repos, assurez-vous que vos rubriques Amazon Simple Notification Service (Amazon SNS) nécessitent un chiffrement à l' AWS aide du Key Management Service AWS (KMS). Comme il peut y avoir des données sensibles au repos dans les messages publiés, activez le chiffrement au repos pour protéger ces données. | |
8.2.3 | Les mots de passe/phrases secrètes doivent satisfaire les critères suivants : • Avoir une longueur minimale d'au moins sept caractères. • Contenir à la fois des caractères numériques et alphabétiques. À défaut, les mots de passe/phrases secrètes doivent être d'une complexité et d'une force au moins équivalentes aux paramètres spécifiés ci-dessus. | Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (PCI DSS par défaut : false), RequireLowercaseCharacters (PCI DSS par défaut : true), (PCI DSS par défaut : false), RequireSymbols (PCI DSS par défaut : true), RequireNumbers (PCI DSS par défaut : 7), MinimumPasswordLength (PCI DSS par défaut : 4) et PasswordReusePrevention MaxPasswordAge (PCI DSS par défaut : 90) pour votre politique de mot de passe IAM. Les valeurs réelles doivent refléter les politiques de votre organisation. | |
8.2.4 | Modifiez les mots de passe/phrases de passe des utilisateurs au moins tous les 90 jours. | Les informations d'identification sont auditées pour les appareils, les utilisateurs et les processus autorisés en veillant à ce que les clés d'accès IAM soient alternées conformément à la politique de l'organisation. La modification régulière des clés d'accès est une bonne pratique de sécurité. Cela permet de raccourcir la période pendant laquelle une clé d'accès est active et de réduire l'impact commercial en cas de compromission des clés. Cette règle nécessite une valeur de rotation des clés d'accès (configuration par défaut : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
8.2.4 | Modifiez les mots de passe/phrases de passe des utilisateurs au moins tous les 90 jours. | Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (PCI DSS par défaut : false), RequireLowercaseCharacters (PCI DSS par défaut : true), (PCI DSS par défaut : false), RequireSymbols (PCI DSS par défaut : true), RequireNumbers (PCI DSS par défaut : 7), MinimumPasswordLength (PCI DSS par défaut : 4) et PasswordReusePrevention MaxPasswordAge (PCI DSS par défaut : 90) pour votre politique de mot de passe IAM. Les valeurs réelles doivent refléter les politiques de votre organisation. | |
8.2.4 | Modifiez les mots de passe/phrases de passe des utilisateurs au moins tous les 90 jours. | Cette règle garantit que la rotation AWS des secrets de Secrets Manager est activée. La rotation régulière des secrets peut raccourcir la période pendant laquelle un secret est actif et potentiellement réduire l'impact commercial s'il est compromis. | |
8.2.5 | Ne permettez pas à une personne de soumettre un nouveau mot de passe/une nouvelle phrase secrète qui soit identique aux quatre derniers mots de passe/phrases secrètes qu'elle a utilisés. | Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (PCI DSS par défaut : false), RequireLowercaseCharacters (PCI DSS par défaut : true), (PCI DSS par défaut : false), RequireSymbols (PCI DSS par défaut : true), RequireNumbers (PCI DSS par défaut : 7), MinimumPasswordLength (PCI DSS par défaut : 4) et PasswordReusePrevention MaxPasswordAge (PCI DSS par défaut : 90) pour votre politique de mot de passe IAM. Les valeurs réelles doivent refléter les politiques de votre organisation. | |
8.3.1 | Incorporez l'authentification multifacteur pour tous les accès autres que via la console dans le CDE pour le personnel disposant d'un accès administrateur. | Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs. | |
8.3.1 | Incorporez l'authentification multifacteur pour tous les accès autres que via la console dans le CDE pour le personnel disposant d'un accès administrateur. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles. | |
8.3.1 | Incorporez l'authentification multifacteur pour tous les accès autres que via la console dans le CDE pour le personnel disposant d'un accès administrateur. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
8.3.1 | Incorporez l'authentification multifacteur pour tous les accès autres que via la console dans le CDE pour le personnel disposant d'un accès administrateur. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
8.3.2 | Incorporez l'authentification multifacteur pour tous les accès réseau distants (utilisateur et administrateur, y compris l'accès tiers pour le support ou la maintenance) provenant de l'extérieur du réseau de l'entité. | Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs. | |
8.3.2 | Incorporez l'authentification multifacteur pour tous les accès réseau distants (utilisateur et administrateur, y compris l'accès tiers pour le support ou la maintenance) provenant de l'extérieur du réseau de l'entité. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles. | |
8.3.2 | Incorporez l'authentification multifacteur pour tous les accès réseau distants (utilisateur et administrateur, y compris l'accès tiers pour le support ou la maintenance) provenant de l'extérieur du réseau de l'entité. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
8.3.2 | Incorporez l'authentification multifacteur pour tous les accès réseau distants (utilisateur et administrateur, y compris l'accès tiers pour le support ou la maintenance) provenant de l'extérieur du réseau de l'entité. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
10.1 | Mettez en œuvre des journaux de piste d'audit pour relier tous les accès aux composants système à chaque utilisateur. | La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs. | |
10.1 | Mettez en œuvre des journaux de piste d'audit pour relier tous les accès aux composants système à chaque utilisateur. | L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. | |
10.1 | Mettez en œuvre des journaux de piste d'audit pour relier tous les accès aux composants système à chaque utilisateur. | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
10.1 | Mettez en œuvre des journaux de piste d'audit pour relier tous les accès aux composants système à chaque utilisateur. | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
10.1 | Mettez en œuvre des journaux de piste d'audit pour relier tous les accès aux composants système à chaque utilisateur. | Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole. | |
10.1 | Mettez en œuvre des journaux de piste d'audit pour relier tous les accès aux composants système à chaque utilisateur. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait. | |
10.1 | Mettez en œuvre des journaux de piste d'audit pour relier tous les accès aux composants système à chaque utilisateur. | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
10.1 | Mettez en œuvre des journaux de piste d'audit pour relier tous les accès aux composants système à chaque utilisateur. | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les Compte AWS informations qui ont accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
10.1 | Mettez en œuvre des journaux de piste d'audit pour relier tous les accès aux composants système à chaque utilisateur. | Assurez-vous que la journalisation AWS CodeBuild du projet est activée afin que les journaux de sortie de votre build soient envoyés à Amazon CloudWatch ou à Amazon Simple Storage Service (Amazon S3). Les journaux de résultats de génération fournissent des informations détaillées sur votre projet de génération. | |
10.1 | Mettez en œuvre des journaux de piste d'audit pour relier tous les accès aux composants système à chaque utilisateur. | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
10.1 | Mettez en œuvre des journaux de piste d'audit pour relier tous les accès aux composants système à chaque utilisateur. | Assurez-vous que la journalisation des audits est activée sur vos domaines Amazon OpenSearch Service. La journalisation des audits vous permet de suivre l'activité des utilisateurs sur vos OpenSearch domaines, notamment les réussites et les échecs d'authentification, les demandes OpenSearch, les modifications d'index et les requêtes de recherche entrantes. | |
10.1 | Mettez en œuvre des journaux de piste d'audit pour relier tous les accès aux composants système à chaque utilisateur. | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
10.1 | Mettez en œuvre des journaux de piste d'audit pour relier tous les accès aux composants système à chaque utilisateur. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
10.1 | Mettez en œuvre des journaux de piste d'audit pour relier tous les accès aux composants système à chaque utilisateur. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
10.2.1 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tous les accès d'utilisateurs individuels aux données de titulaires de cartes | La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs. | |
10.2.1 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tous les accès d'utilisateurs individuels aux données de titulaires de cartes | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
10.2.1 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tous les accès d'utilisateurs individuels aux données de titulaires de cartes | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
10.2.1 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tous les accès d'utilisateurs individuels aux données de titulaires de cartes | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
10.2.1 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tous les accès d'utilisateurs individuels aux données de titulaires de cartes | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les Compte AWS informations qui ont accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
10.2.1 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tous les accès d'utilisateurs individuels aux données de titulaires de cartes | Assurez-vous que la journalisation AWS CodeBuild du projet est activée afin que les journaux de sortie de votre build soient envoyés à Amazon CloudWatch ou à Amazon Simple Storage Service (Amazon S3). Les journaux de résultats de génération fournissent des informations détaillées sur votre projet de génération. | |
10.2.1 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tous les accès d'utilisateurs individuels aux données de titulaires de cartes | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
10.2.1 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tous les accès d'utilisateurs individuels aux données de titulaires de cartes | Assurez-vous que la journalisation des audits est activée sur vos domaines Amazon OpenSearch Service. La journalisation des audits vous permet de suivre l'activité des utilisateurs sur vos OpenSearch domaines, notamment les réussites et les échecs d'authentification, les demandes OpenSearch, les modifications d'index et les requêtes de recherche entrantes. | |
10.2.1 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tous les accès d'utilisateurs individuels aux données de titulaires de cartes | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
10.2.1 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tous les accès d'utilisateurs individuels aux données de titulaires de cartes | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
10.2.1 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tous les accès d'utilisateurs individuels aux données de titulaires de cartes | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
10.2.2 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Toutes les actions effectuées par une personne disposant de privilèges racine ou administrateur | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
10.2.2 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Toutes les actions effectuées par une personne disposant de privilèges racine ou administrateur | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
10.2.2 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Toutes les actions effectuées par une personne disposant de privilèges racine ou administrateur | Assurez-vous que la journalisation AWS CodeBuild du projet est activée afin que les journaux de sortie de votre build soient envoyés à Amazon CloudWatch ou à Amazon Simple Storage Service (Amazon S3). Les journaux de résultats de génération fournissent des informations détaillées sur votre projet de génération. | |
10.2.2 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Toutes les actions effectuées par une personne disposant de privilèges racine ou administrateur | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
10.2.2 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Toutes les actions effectuées par une personne disposant de privilèges racine ou administrateur | Assurez-vous que la journalisation des audits est activée sur vos domaines Amazon OpenSearch Service. La journalisation des audits vous permet de suivre l'activité des utilisateurs sur vos OpenSearch domaines, notamment les réussites et les échecs d'authentification, les demandes OpenSearch, les modifications d'index et les requêtes de recherche entrantes. | |
10.2.2 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Toutes les actions effectuées par une personne disposant de privilèges racine ou administrateur | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
10.2.2 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Toutes les actions effectuées par une personne disposant de privilèges racine ou administrateur | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
10.2.2 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Toutes les actions effectuées par une personne disposant de privilèges racine ou administrateur | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
10.2.3 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Accès à toutes les pistes d'audit | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
10.2.3 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Accès à toutes les pistes d'audit | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
10.2.3 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Accès à toutes les pistes d'audit | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les Compte AWS informations qui ont accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
10.2.3 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Accès à toutes les pistes d'audit | Assurez-vous que la journalisation AWS CodeBuild du projet est activée afin que les journaux de sortie de votre build soient envoyés à Amazon CloudWatch ou à Amazon Simple Storage Service (Amazon S3). Les journaux de résultats de génération fournissent des informations détaillées sur votre projet de génération. | |
10.2.3 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Accès à toutes les pistes d'audit | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
10.2.3 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Accès à toutes les pistes d'audit | Assurez-vous que la journalisation des audits est activée sur vos domaines Amazon OpenSearch Service. La journalisation des audits vous permet de suivre l'activité des utilisateurs sur vos OpenSearch domaines, notamment les réussites et les échecs d'authentification, les demandes OpenSearch, les modifications d'index et les requêtes de recherche entrantes. | |
10.2.3 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Accès à toutes les pistes d'audit | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
10.2.3 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Accès à toutes les pistes d'audit | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
10.2.3 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Accès à toutes les pistes d'audit | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
10.2.3 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Accès à toutes les pistes d'audit | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
10.2.4 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tentatives d'accès logique non valide | La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs. | |
10.2.4 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tentatives d'accès logique non valide | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
10.2.4 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tentatives d'accès logique non valide | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
10.2.4 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tentatives d'accès logique non valide | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
10.2.4 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tentatives d'accès logique non valide | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les Compte AWS informations qui ont accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
10.2.4 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tentatives d'accès logique non valide | Assurez-vous que la journalisation AWS CodeBuild du projet est activée afin que les journaux de sortie de votre build soient envoyés à Amazon CloudWatch ou à Amazon Simple Storage Service (Amazon S3). Les journaux de résultats de génération fournissent des informations détaillées sur votre projet de génération. | |
10.2.4 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tentatives d'accès logique non valide | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
10.2.4 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tentatives d'accès logique non valide | Assurez-vous que la journalisation des audits est activée sur vos domaines Amazon OpenSearch Service. La journalisation des audits vous permet de suivre l'activité des utilisateurs sur vos OpenSearch domaines, notamment les réussites et les échecs d'authentification, les demandes OpenSearch, les modifications d'index et les requêtes de recherche entrantes. | |
10.2.4 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tentatives d'accès logique non valide | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
10.2.4 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tentatives d'accès logique non valide | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
10.2.4 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Tentatives d'accès logique non valide | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
10.2.5 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Utilisation et modification des mécanismes d'identification et d'authentification, y compris, mais sans s'y limiter, la création de nouveaux comptes et l'élévation des privilèges, ainsi que tous les ajouts, suppressions ou modifications effectués sur des comptes dotés de privilèges racine ou administrateur | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
10.2.5 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Utilisation et modification des mécanismes d'identification et d'authentification, y compris, mais sans s'y limiter, la création de nouveaux comptes et l'élévation des privilèges, ainsi que tous les ajouts, suppressions ou modifications effectués sur des comptes dotés de privilèges racine ou administrateur | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
10.2.5 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Utilisation et modification des mécanismes d'identification et d'authentification, y compris, mais sans s'y limiter, la création de nouveaux comptes et l'élévation des privilèges, ainsi que tous les ajouts, suppressions ou modifications effectués sur des comptes dotés de privilèges racine ou administrateur | Assurez-vous que la journalisation AWS CodeBuild du projet est activée afin que les journaux de sortie de votre build soient envoyés à Amazon CloudWatch ou à Amazon Simple Storage Service (Amazon S3). Les journaux de résultats de génération fournissent des informations détaillées sur votre projet de génération. | |
10.2.5 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Utilisation et modification des mécanismes d'identification et d'authentification, y compris, mais sans s'y limiter, la création de nouveaux comptes et l'élévation des privilèges, ainsi que tous les ajouts, suppressions ou modifications effectués sur des comptes dotés de privilèges racine ou administrateur | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
10.2.5 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Utilisation et modification des mécanismes d'identification et d'authentification, y compris, mais sans s'y limiter, la création de nouveaux comptes et l'élévation des privilèges, ainsi que tous les ajouts, suppressions ou modifications effectués sur des comptes dotés de privilèges racine ou administrateur | Assurez-vous que la journalisation des audits est activée sur vos domaines Amazon OpenSearch Service. La journalisation des audits vous permet de suivre l'activité des utilisateurs sur vos OpenSearch domaines, notamment les réussites et les échecs d'authentification, les demandes OpenSearch, les modifications d'index et les requêtes de recherche entrantes. | |
10.2.5 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Utilisation et modification des mécanismes d'identification et d'authentification, y compris, mais sans s'y limiter, la création de nouveaux comptes et l'élévation des privilèges, ainsi que tous les ajouts, suppressions ou modifications effectués sur des comptes dotés de privilèges racine ou administrateur | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
10.2.5 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Utilisation et modification des mécanismes d'identification et d'authentification, y compris, mais sans s'y limiter, la création de nouveaux comptes et l'élévation des privilèges, ainsi que tous les ajouts, suppressions ou modifications effectués sur des comptes dotés de privilèges racine ou administrateur | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
10.2.5 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Utilisation et modification des mécanismes d'identification et d'authentification, y compris, mais sans s'y limiter, la création de nouveaux comptes et l'élévation des privilèges, ainsi que tous les ajouts, suppressions ou modifications effectués sur des comptes dotés de privilèges racine ou administrateur | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
10.2.6 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Initialisation, arrêt ou pause des journaux d'audit | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
10.2.6 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Initialisation, arrêt ou pause des journaux d'audit | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
10.2.6 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Initialisation, arrêt ou pause des journaux d'audit | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
10.2.7 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Création et suppression d'objets au niveau du système | La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs. | |
10.2.7 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Création et suppression d'objets au niveau du système | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
10.2.7 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Création et suppression d'objets au niveau du système | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
10.2.7 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Création et suppression d'objets au niveau du système | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
10.2.7 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Création et suppression d'objets au niveau du système | Assurez-vous que la journalisation des audits est activée sur vos domaines Amazon OpenSearch Service. La journalisation des audits vous permet de suivre l'activité des utilisateurs sur vos OpenSearch domaines, notamment les réussites et les échecs d'authentification, les demandes OpenSearch, les modifications d'index et les requêtes de recherche entrantes. | |
10.2.7 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Création et suppression d'objets au niveau du système | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
10.2.7 | Implémentez des journaux de piste d'audit automatiques pour tous les composants système afin de reconstruire les événements suivants : Création et suppression d'objets au niveau du système | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
10.3.1 | Enregistrez au moins les entrées de journaux de piste d'audit suivantes pour tous les composants système pour chaque événement : Identification de l'utilisateur | La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs. | |
10.3.1 | Enregistrez au moins les entrées de journaux de piste d'audit suivantes pour tous les composants système pour chaque événement : Identification de l'utilisateur | L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. | |
10.3.1 | Enregistrez au moins les entrées de journaux de piste d'audit suivantes pour tous les composants système pour chaque événement : Identification de l'utilisateur | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
10.3.1 | Enregistrez au moins les entrées de journaux de piste d'audit suivantes pour tous les composants système pour chaque événement : Identification de l'utilisateur | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
10.3.1 | Enregistrez au moins les entrées de journaux de piste d'audit suivantes pour tous les composants système pour chaque événement : Identification de l'utilisateur | Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole. | |
10.3.1 | Enregistrez au moins les entrées de journaux de piste d'audit suivantes pour tous les composants système pour chaque événement : Identification de l'utilisateur | Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait. | |
10.3.1 | Enregistrez au moins les entrées de journaux de piste d'audit suivantes pour tous les composants système pour chaque événement : Identification de l'utilisateur | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
10.3.1 | Enregistrez au moins les entrées de journaux de piste d'audit suivantes pour tous les composants système pour chaque événement : Identification de l'utilisateur | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les Compte AWS informations qui ont accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
10.3.1 | Enregistrez au moins les entrées de journaux de piste d'audit suivantes pour tous les composants système pour chaque événement : Identification de l'utilisateur | Assurez-vous que la journalisation AWS CodeBuild du projet est activée afin que les journaux de sortie de votre build soient envoyés à Amazon CloudWatch ou à Amazon Simple Storage Service (Amazon S3). Les journaux de résultats de génération fournissent des informations détaillées sur votre projet de génération. | |
10.3.1 | Enregistrez au moins les entrées de journaux de piste d'audit suivantes pour tous les composants système pour chaque événement : Identification de l'utilisateur | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
10.3.1 | Enregistrez au moins les entrées de journaux de piste d'audit suivantes pour tous les composants système pour chaque événement : Identification de l'utilisateur | Assurez-vous que la journalisation des audits est activée sur vos domaines Amazon OpenSearch Service. La journalisation des audits vous permet de suivre l'activité des utilisateurs sur vos OpenSearch domaines, notamment les réussites et les échecs d'authentification, les demandes OpenSearch, les modifications d'index et les requêtes de recherche entrantes. | |
10.3.1 | Enregistrez au moins les entrées de journaux de piste d'audit suivantes pour tous les composants système pour chaque événement : Identification de l'utilisateur | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
10.3.1 | Enregistrez au moins les entrées de journaux de piste d'audit suivantes pour tous les composants système pour chaque événement : Identification de l'utilisateur | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
10.3.1 | Enregistrez au moins les entrées de journaux de piste d'audit suivantes pour tous les composants système pour chaque événement : Identification de l'utilisateur | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
10.5 | Sécurisez les pistes d'audit afin qu'elles ne puissent pas être modifiées. | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le cryptage est activé pour vos AWS CloudTrail pistes. | |
10.5 | Sécurisez les pistes d'audit afin qu'elles ne puissent pas être modifiées. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données. | |
10.5 | Sécurisez les pistes d'audit afin qu'elles ne puissent pas être modifiées. | Assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans un compartiment Amazon S3, activez le chiffrement au repos pour protéger ces données. | |
10.5.2 | Protégez les fichiers journaux de piste d'audit contre les modifications non autorisées. | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le cryptage est activé pour vos AWS CloudTrail pistes. | |
10.5.2 | Protégez les fichiers journaux de piste d'audit contre les modifications non autorisées. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données. | |
10.5.2 | Protégez les fichiers journaux de piste d'audit contre les modifications non autorisées. | Assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans un compartiment Amazon S3, activez le chiffrement au repos pour protéger ces données. | |
10.5.3 | Sauvegardez rapidement les fichiers de journaux de piste d'audit sur un serveur de journaux centralisé ou un support difficile à modifier. | Assurez-vous que les politiques de cycle de vie d'Amazon S3 sont configurées pour vous aider à définir les actions qu'Amazon S3 doit effectuer au cours de la durée de vie d'un objet (par exemple, transférer les objets vers une autre classe de stockage, les archiver ou les supprimer au bout d'une certaine période). | |
10.5.3 | Sauvegardez rapidement les fichiers de journaux de piste d'audit sur un serveur de journaux centralisé ou un support difficile à modifier. | Pour faciliter les processus de sauvegarde des données, assurez-vous que votre plan AWS de sauvegarde est défini pour une fréquence et une rétention minimales. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Cette règle vous permet de définir les paramètres requiredFrequencyValue (Config par défaut : 1), requiredRetentionDays (Config par défaut : 35) et requiredFrequencyUnit (Config par défaut : jours). La valeur réelle doit refléter les exigences de votre organisation. | |
10.5.3 | Sauvegardez rapidement les fichiers de journaux de piste d'audit sur un serveur de journaux centralisé ou un support difficile à modifier. | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS. | |
10.5.3 | Sauvegardez rapidement les fichiers de journaux de piste d'audit sur un serveur de journaux centralisé ou un support difficile à modifier. | La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données. | |
10.5.5 | Utilisez un logiciel de surveillance de l'intégrité des fichiers ou de détection des modifications sur les journaux pour s'assurer que les données de journal existantes ne peuvent pas être modifiées sans générer d'alertes (bien que l'ajout de nouvelles données ne doive pas provoquer d'alerte). | Utilisez la validation des fichiers AWS CloudTrail journaux pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonctionnalité est créée grâce à des algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection. | |
10.5.5 | Utilisez un logiciel de surveillance de l'intégrité des fichiers ou de détection des modifications sur les journaux pour s'assurer que les données de journal existantes ne peuvent pas être modifiées sans générer d'alertes (bien que l'ajout de nouvelles données ne doive pas provoquer d'alerte). | La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative. | |
10.7 | Conservez l'historique des pistes d'audit pendant au moins un an, avec un minimum de trois mois immédiatement disponibles pour analyse (par exemple, en ligne, archivé ou restaurable à partir d'une sauvegarde). | Assurez-vous que les politiques de cycle de vie d'Amazon S3 sont configurées pour vous aider à définir les actions qu'Amazon S3 doit effectuer au cours de la durée de vie d'un objet (par exemple, transférer les objets vers une autre classe de stockage, les archiver ou les supprimer au bout d'une certaine période). | |
10.7 | Conservez l'historique des pistes d'audit pendant au moins un an, avec un minimum de trois mois immédiatement disponibles pour analyse (par exemple, en ligne, archivé ou restaurable à partir d'une sauvegarde). | Pour faciliter les processus de sauvegarde des données, assurez-vous que votre plan AWS de sauvegarde est défini pour une fréquence et une rétention minimales. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Cette règle vous permet de définir les paramètres requiredFrequencyValue (Config par défaut : 1), requiredRetentionDays (Config par défaut : 35) et requiredFrequencyUnit (Config par défaut : jours). La valeur réelle doit refléter les exigences de votre organisation. | |
11.2.3 | Effectuez des analyses internes et externes et, le cas échéant, de nouvelles analyses après toute modification importante. Les analyses doivent être effectuées par du personnel qualifié. | La numérisation d'images Amazon Elastic Container Repository (ECR) permet d'identifier les vulnérabilités logicielles dans vos images de conteneur. L'activation de la numérisation d'images dans les référentiels ECR ajoute une couche de vérification de l'intégrité et de la sécurité des images stockées. | |
11.4 | Utilisez des techniques de détection et/ou de prévention des intrusions pour détecter et/ou empêcher les intrusions dans le réseau. Surveillez l'ensemble du trafic au périmètre de l'environnement des données de titulaires de cartes ainsi qu'aux points critiques de l'environnement des données de titulaires de cartes, et alertez le personnel en cas de suspicion de compromission. Maintenez à jour tous les moteurs, bases de référence et signatures de détection et de prévention des intrusions. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
11.4 | Utilisez des techniques de détection et/ou de prévention des intrusions pour détecter et/ou empêcher les intrusions dans le réseau. Surveillez l'ensemble du trafic au périmètre de l'environnement des données de titulaires de cartes ainsi qu'aux points critiques de l'environnement des données de titulaires de cartes, et alertez le personnel en cas de suspicion de compromission. Maintenez à jour tous les moteurs, bases de référence et signatures de détection et de prévention des intrusions. | Une politique de AWS Network Firewall définit la manière dont votre pare-feu surveille et gère le trafic dans un Amazon VPC. Vous configurez des groupes de règles avec ou sans état pour filtrer les paquets et les flux de trafic, et vous définissez la gestion du trafic par défaut. | |
11.5 | Déployez un mécanisme de détection des modifications (par exemple, des outils de surveillance de l'intégrité des fichiers) pour alerter le personnel en cas de modification non autorisée (y compris les ajouts et les suppressions) des fichiers système, des fichiers de configuration ou des fichiers de contenu critiques ; et configurez le logiciel pour qu'il effectue des comparaisons des fichiers critiques au moins une fois par semaine. | Utilisez la validation des fichiers AWS CloudTrail journaux pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonctionnalité est créée grâce à des algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection. | |
11.5 | Déployez un mécanisme de détection des modifications (par exemple, des outils de surveillance de l'intégrité des fichiers) pour alerter le personnel en cas de modification non autorisée (y compris les ajouts et les suppressions) des fichiers système, des fichiers de configuration ou des fichiers de contenu critiques ; et configurez le logiciel pour qu'il effectue des comparaisons des fichiers critiques au moins une fois par semaine. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS |
Modèle
Le modèle est disponible sur GitHub : Operational Best Practices for PCI DSS 3.2.1.