Bonnes pratiques de fonctionnement pour NYDFS 23 - AWS Config

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bonnes pratiques de fonctionnement pour NYDFS 23

Les packs de conformité fournissent un cadre de conformité à usage général conçu pour vous permettre de créer des contrôles de gouvernance en matière de sécurité, d'exploitation ou d'optimisation des coûts à l'aide de AWS Config règles gérées ou personnalisées et d'actions correctives. AWS Config Les packs de conformité, en tant qu'exemples de modèle, ne sont pas conçus pour garantir pleinement la conformité à une norme de gouvernance ou de conformité spécifique. Il vous incombe de déterminer vous-même si votre utilisation des services est conforme aux exigences légales et réglementaires applicables.

Vous trouverez ci-dessous un exemple de correspondance entre les exigences de cybersécurité du département des services financiers de l'État de New York (NYDFS) pour les sociétés de services financiers (23 NYCRR 500) et les règles de configuration gérées AWS . Chaque AWS Config règle s'applique à une AWS ressource spécifique et concerne un ou plusieurs contrôles américains du NYDFS. Un contrôle US NYDFS 23 NYCRR 500 peut être associé à plusieurs règles de configuration. Reportez-vous au tableau ci-dessous pour obtenir plus de détails et des conseils relatifs à ces mappages.

ID du contrôle Description du contrôle AWS Règle de configuration Conseils
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

acm-certificate-expiration-check

Assurez-vous que l'intégrité du réseau est protégée en vous assurant que les certificats X509 sont émis par AWS ACM. Ces certificats doivent être valides et non expirés. Cette règle nécessite une valeur pour daysToExpiration (valeur des meilleures pratiques de sécuritéAWS fondamentales : 90). La valeur réelle doit refléter les politiques de votre organisation.
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

alb-http-to-https-redirection-check

Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

api-gw-cache-enabled-and-encrypted

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour le cache de votre environnement API Gateway. Étant donné que des données sensibles peuvent être capturées pour la méthode API, activez le chiffrement au repos pour protéger ces données.
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

cloud-trail-encryption-enabled

Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le cryptage est activé pour vos AWS CloudTrail pistes.
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

cloudwatch-log-group-encrypted

Pour protéger les données sensibles au repos, assurez-vous que le chiffrement est activé pour vos Amazon CloudWatch Log Groups.
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

efs-encrypted-check

Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour votre Amazon Elastic File System (EFS).
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

elasticsearch-encrypted-at-rest

Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch OpenSearch Service (Service).
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

elb-acm-certificate-required

Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes.
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

encrypted-volumes

Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS).
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

rds-storage-encrypted

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos dans les instances Amazon RDS, activez le chiffrement au repos pour protéger ces données.
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

redshift-require-tls-ssl

Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

s3-bucket-server-side-encryption-enabled

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données.
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

s3-bucket-ssl-requests-only

Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

sagemaker-endpoint-configuration-kms-key-configured

Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker terminal. Étant donné que les données sensibles peuvent exister au repos sur le SageMaker terminal, activez le chiffrement au repos pour protéger ces données.
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

sagemaker-notebook-instance-kms-key-configured

Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker ordinateur portable. Étant donné que des données sensibles peuvent exister au repos dans le SageMaker bloc-notes, activez le chiffrement au repos pour protéger ces données.
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

sns-encrypted-kms

Pour protéger les données au repos, assurez-vous que vos rubriques Amazon Simple Notification Service (Amazon SNS) nécessitent un chiffrement à l' AWS aide du Key Management Service AWS (KMS). Comme il peut y avoir des données sensibles au repos dans les messages publiés, activez le chiffrement au repos pour protéger ces données.
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

ec2-ebs-encryption-by-default

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données.
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

rds-snapshot-encrypted

Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données.
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

alb-http-drop-invalid-header-enabled

Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés pour ne pas prendre en compte les en-têtes http. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

kinesis-stream-encrypted

Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos flux Amazon Kinesis Streams.
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

elasticsearch-node-to-node-encryption-check

Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

elb-tls-https-listeners-only

Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

cloud-trail-log-file-validation-enabled

Utilisez la validation des fichiers AWS CloudTrail journaux pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonctionnalité est créée grâce à des algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection.
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling AWS utilise le service Application Auto Scaling pour ajuster la capacité de débit allouée afin de répondre automatiquement aux modèles de trafic réels. Cela permet à une table ou à un index secondaire global d'augmenter sa capacité de lecture/d'écriture approvisionnée afin de gérer les hausses soudaines de trafic sans limitation.
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

elb-deletion-protection-enabled

Cette règle garantit que la protection contre la suppression est activée pour Elastic Load Balancing. Utilisez cette fonctionnalité pour empêcher la suppression accidentelle ou malveillante de votre équilibreur de charge, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

rds-multi-az-support

La prise en charge multi-AZ dans Amazon Relational Database Service (Amazon RDS) offre une disponibilité et une durabilité améliorées pour les instances de base de données. Lorsque vous mettez en service une instance de base de données multi-AZ, Amazon RDS crée automatiquement une instance de base de données principale et réplique de manière synchrone les données vers une instance de secours dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé.
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

s3-bucket-default-lock-enabled

Assurez-vous que le verrouillage est activé par défaut dans votre compartiment Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments S3, appliquez le verrouillage d'objet au repos pour protéger ces données.
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

vpc-vpn-2-tunnels-up

Des tunnels Site-to-Site VPN redondants peuvent être mis en œuvre pour répondre aux exigences de résilience. Deux tunnels sont utilisés pour garantir la connectivité au cas où l'une des connexions Site-to-Site VPN deviendrait indisponible. Pour bénéficier d'une protection contre la perte de connectivité en cas d'indisponibilité de votre passerelle client, vous pouvez configurer une seconde connexion Site-to-Site VPN vers votre réseau Amazon Virtual Private Cloud (Amazon VPC) et votre passerelle privée virtuelle en ajoutant une seconde passerelle client.
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

elb-cross-zone-load-balancing-enabled

Activez l'équilibrage de charge entre zones pour vos équilibreurs de charge Elastic Load Balancing (ELB) afin de maintenir une capacité et une disponibilité adéquates. L'équilibrage de charge entre zones réduit la nécessité de maintenir un nombre équivalent d'instances dans chaque zone de disponibilité activée. Cela améliore également la capacité de votre application à gérer la perte d'une ou de plusieurs instances.
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

rds-instance-deletion-protection-enabled

Assurez-vous que la protection contre la suppression est activée sur les instances Amazon Relational Database Service (Amazon RDS). Utilisez la protection contre la suppression pour empêcher la suppression accidentelle ou malveillante des instances Amazon RDS, ce qui pourrait entraîner une perte de disponibilité pour vos applications.
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

api-gw-ssl-enabled

Assurez-vous que les étapes de l'API REST Amazon API Gateway sont configurées avec des certificats SSL pour permettre aux systèmes backend d'authentifier que les demandes proviennent d'API Gateway.
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

autoscaling-group-elb-healthcheck-required

La surveillance de l'état Elastic Load Balancer (ELB) pour les groupes Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) permet de maintenir une capacité et une disponibilité adéquates. L'équilibreur de charge envoie périodiquement des pings, effectue des tentatives de connexion ou adresse des demandes pour tester l'état des instances Amazon EC2 dans un groupe Auto Scaling. Si une instance ne renvoie pas de rapport, le trafic est envoyé à une nouvelle instance Amazon EC2.
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

autoscaling-launch-config-public-ip-disabled

Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs.
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

backup-recovery-point-encrypted

Assurez-vous que le chiffrement est activé pour vos points AWS de restauration Backup. Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données.
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

beanstalk-enhanced-health-reporting-enabled

AWS Les rapports de santé améliorés d'Elastic Beanstalk permettent de réagir plus rapidement aux modifications de l'état de santé de l'infrastructure sous-jacente. Ces modifications peuvent entraîner un manque de disponibilité de l'application. Les rapports d'état améliorés Elastic Beanstalk fournissent un descripteur d'état permettant d'évaluer la gravité des problèmes identifiés et d'identifier les causes possibles à étudier.
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

dynamodb-table-encrypted-kms

Assurez-vous que le chiffrement est activé pour vos tables Amazon DynamoDB. Comme il peut y avoir des données sensibles au repos dans ces tables, activez le chiffrement au repos pour protéger ces données. Par défaut, les tables DynamoDB sont chiffrées à l'aide AWS d'une clé principale propre au client (CMK).
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

ec2-instance-detailed-monitoring-enabled

Activez cette règle pour améliorer la surveillance des instances Amazon Elastic Compute Cloud (Amazon EC2) sur la console Amazon EC2, qui affiche des graphiques de surveillance toutes les minutes pour l'instance.
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

elbv2-acm-certificate-required

Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes.
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

s3-account-level-public-access-blocks-periodic

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation.
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

s3-default-encryption-kms

Assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans un compartiment Amazon S3, activez le chiffrement au repos pour protéger ces données.
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

ssm-document-not-public

Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes.
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

opensearch-encrypted-at-rest

Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch Service.
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

opensearch-node-to-node-encryption-check

Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
500.02 (a) (a) Programme de cybersécurité. Chaque entité concernée doit maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée.

codebuild-project-artifact-encryption

Pour protéger les données sensibles au repos, assurez-vous que le chiffrement est activé pour vos AWS CodeBuild artefacts.
500.02(b)(2) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (2) utilisation d'une infrastructure défensive et mise en œuvre de politiques et de procédures pour protéger les systèmes d'information de l'entité concernée et les informations non publiques stockées sur ces systèmes d'information contre les accès, utilisations ou autres actes malveillants non autorisés.

emr-kerberos-enabled

Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal.
500.02(b)(2) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (2) utilisation d'une infrastructure défensive et mise en œuvre de politiques et de procédures pour protéger les systèmes d'information de l'entité concernée et les informations non publiques stockées sur ces systèmes d'information contre les accès, utilisations ou autres actes malveillants non autorisés.

iam-group-has-users-check

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège.
500.02(b)(2) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (2) utilisation d'une infrastructure défensive et mise en œuvre de politiques et de procédures pour protéger les systèmes d'information de l'entité concernée et les informations non publiques stockées sur ces systèmes d'information contre les accès, utilisations ou autres actes malveillants non autorisés.

iam-password-policy

Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation.
500.02(b)(2) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (2) utilisation d'une infrastructure défensive et mise en œuvre de politiques et de procédures pour protéger les systèmes d'information de l'entité concernée et les informations non publiques stockées sur ces systèmes d'information contre les accès, utilisations ou autres actes malveillants non autorisés.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
500.02(b)(2) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (2) utilisation d'une infrastructure défensive et mise en œuvre de politiques et de procédures pour protéger les systèmes d'information de l'entité concernée et les informations non publiques stockées sur ces systèmes d'information contre les accès, utilisations ou autres actes malveillants non autorisés.

iam-root-access-key-check

L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
500.02(b)(2) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (2) utilisation d'une infrastructure défensive et mise en œuvre de politiques et de procédures pour protéger les systèmes d'information de l'entité concernée et les informations non publiques stockées sur ces systèmes d'information contre les accès, utilisations ou autres actes malveillants non autorisés.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
500.02(b)(2) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (2) utilisation d'une infrastructure défensive et mise en œuvre de politiques et de procédures pour protéger les systèmes d'information de l'entité concernée et les informations non publiques stockées sur ces systèmes d'information contre les accès, utilisations ou autres actes malveillants non autorisés.

iam-user-mfa-enabled

Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs.
500.02(b)(2) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (2) utilisation d'une infrastructure défensive et mise en œuvre de politiques et de procédures pour protéger les systèmes d'information de l'entité concernée et les informations non publiques stockées sur ces systèmes d'information contre les accès, utilisations ou autres actes malveillants non autorisés.

iam-user-no-policies-check

Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs.
500.02(b)(2) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (2) utilisation d'une infrastructure défensive et mise en œuvre de politiques et de procédures pour protéger les systèmes d'information de l'entité concernée et les informations non publiques stockées sur ces systèmes d'information contre les accès, utilisations ou autres actes malveillants non autorisés.

mfa-enabled-for-iam-console-access

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles.
500.02(b)(2) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (2) utilisation d'une infrastructure défensive et mise en œuvre de politiques et de procédures pour protéger les systèmes d'information de l'entité concernée et les informations non publiques stockées sur ces systèmes d'information contre les accès, utilisations ou autres actes malveillants non autorisés.

root-account-hardware-mfa-enabled

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. La MFA ajoute une couche supplémentaire de protection pour les informations d'identification de connexion En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS
500.02(b)(2) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (2) utilisation d'une infrastructure défensive et mise en œuvre de politiques et de procédures pour protéger les systèmes d'information de l'entité concernée et les informations non publiques stockées sur ces systèmes d'information contre les accès, utilisations ou autres actes malveillants non autorisés.

root-account-mfa-enabled

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. La MFA ajoute une couche supplémentaire de protection pour les informations d'identification de connexion En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS
500.02(b)(2) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (2) utilisation d'une infrastructure défensive et mise en œuvre de politiques et de procédures pour protéger les systèmes d'information de l'entité concernée et les informations non publiques stockées sur ces systèmes d'information contre les accès, utilisations ou autres actes malveillants non autorisés.

s3-bucket-policy-grantee-check

Gérez l'accès au AWS cloud en activant s3_ bucket_policy_grantee_check. Cette règle vérifie que l'accès accordé par le compartiment Amazon S3 est limité par les principaux, les utilisateurs fédérés, AWS les principaux de service, les adresses IP ou les identifiants Amazon Virtual Private Cloud (Amazon VPC) que vous fournissez.
500.02(b)(2) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (2) utilisation d'une infrastructure défensive et mise en œuvre de politiques et de procédures pour protéger les systèmes d'information de l'entité concernée et les informations non publiques stockées sur ces systèmes d'information contre les accès, utilisations ou autres actes malveillants non autorisés.

ec2-imdsv2-check

Assurez-vous que la méthode Service des métadonnées d'instance Version 2 (IMDSv2) est activée pour protéger l'accès aux métadonnées d'instance Amazon Elastic Compute Cloud (Amazon EC2) et leur contrôle. La méthode IMDSv2 utilise des contrôles basés sur la session. Avec IMDSv2, des contrôles peuvent être mis en œuvre pour limiter les modifications apportées aux métadonnées des instances.
500.02(b)(2) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (2) utilisation d'une infrastructure défensive et mise en œuvre de politiques et de procédures pour protéger les systèmes d'information de l'entité concernée et les informations non publiques stockées sur ces systèmes d'information contre les accès, utilisations ou autres actes malveillants non autorisés.

iam-no-inline-policy-check

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations.
500.02(b)(2) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (2) utilisation d'une infrastructure défensive et mise en œuvre de politiques et de procédures pour protéger les systèmes d'information de l'entité concernée et les informations non publiques stockées sur ces systèmes d'information contre les accès, utilisations ou autres actes malveillants non autorisés.

dms-replication-not-public

Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
500.02(b)(2) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (2) utilisation d'une infrastructure défensive et mise en œuvre de politiques et de procédures pour protéger les systèmes d'information de l'entité concernée et les informations non publiques stockées sur ces systèmes d'information contre les accès, utilisations ou autres actes malveillants non autorisés.

ebs-snapshot-public-restorable-check

Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
500.02(b)(2) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (2) utilisation d'une infrastructure défensive et mise en œuvre de politiques et de procédures pour protéger les systèmes d'information de l'entité concernée et les informations non publiques stockées sur ces systèmes d'information contre les accès, utilisations ou autres actes malveillants non autorisés.

ec2-instance-no-public-ip

Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
500.02(b)(2) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (2) utilisation d'une infrastructure défensive et mise en œuvre de politiques et de procédures pour protéger les systèmes d'information de l'entité concernée et les informations non publiques stockées sur ces systèmes d'information contre les accès, utilisations ou autres actes malveillants non autorisés.

elasticsearch-in-vpc-only

Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
500.02(b)(2) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (2) utilisation d'une infrastructure défensive et mise en œuvre de politiques et de procédures pour protéger les systèmes d'information de l'entité concernée et les informations non publiques stockées sur ces systèmes d'information contre les accès, utilisations ou autres actes malveillants non autorisés.

emr-master-no-public-ip

Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
500.02(b)(2) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (2) utilisation d'une infrastructure défensive et mise en œuvre de politiques et de procédures pour protéger les systèmes d'information de l'entité concernée et les informations non publiques stockées sur ces systèmes d'information contre les accès, utilisations ou autres actes malveillants non autorisés.

restricted-ssh

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance.
500.02(b)(2) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (2) utilisation d'une infrastructure défensive et mise en œuvre de politiques et de procédures pour protéger les systèmes d'information de l'entité concernée et les informations non publiques stockées sur ces systèmes d'information contre les accès, utilisations ou autres actes malveillants non autorisés.

ec2-instances-in-vpc

Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès.
500.02(b)(2) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (2) utilisation d'une infrastructure défensive et mise en œuvre de politiques et de procédures pour protéger les systèmes d'information de l'entité concernée et les informations non publiques stockées sur ces systèmes d'information contre les accès, utilisations ou autres actes malveillants non autorisés.

internet-gateway-authorized-vpc-only

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les passerelles Internet ne sont connectées qu'à Amazon Virtual Private Cloud (Amazon VPC) autorisé. Les passerelles Internet permettent un accès bidirectionnel à Internet depuis et vers le réseau Amazon VPC, ce qui peut potentiellement entraîner un accès non autorisé aux ressources Amazon VPC.
500.02(b)(2) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (2) utilisation d'une infrastructure défensive et mise en œuvre de politiques et de procédures pour protéger les systèmes d'information de l'entité concernée et les informations non publiques stockées sur ces systèmes d'information contre les accès, utilisations ou autres actes malveillants non autorisés.

lambda-function-public-access-prohibited

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources.
500.02(b)(2) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (2) utilisation d'une infrastructure défensive et mise en œuvre de politiques et de procédures pour protéger les systèmes d'information de l'entité concernée et les informations non publiques stockées sur ces systèmes d'information contre les accès, utilisations ou autres actes malveillants non autorisés.

lambda-inside-vpc

Déployez les fonctions AWS Lambda dans un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC.
500.02(b)(2) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (2) utilisation d'une infrastructure défensive et mise en œuvre de politiques et de procédures pour protéger les systèmes d'information de l'entité concernée et les informations non publiques stockées sur ces systèmes d'information contre les accès, utilisations ou autres actes malveillants non autorisés.

rds-instance-public-access-check

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
500.02(b)(2) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (2) utilisation d'une infrastructure défensive et mise en œuvre de politiques et de procédures pour protéger les systèmes d'information de l'entité concernée et les informations non publiques stockées sur ces systèmes d'information contre les accès, utilisations ou autres actes malveillants non autorisés.

rds-snapshots-public-prohibited

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
500.02(b)(2) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (2) utilisation d'une infrastructure défensive et mise en œuvre de politiques et de procédures pour protéger les systèmes d'information de l'entité concernée et les informations non publiques stockées sur ces systèmes d'information contre les accès, utilisations ou autres actes malveillants non autorisés.

redshift-cluster-public-access-check

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
500.02(b)(2) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (2) utilisation d'une infrastructure défensive et mise en œuvre de politiques et de procédures pour protéger les systèmes d'information de l'entité concernée et les informations non publiques stockées sur ces systèmes d'information contre les accès, utilisations ou autres actes malveillants non autorisés.

restricted-common-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation.
500.02(b)(2) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (2) utilisation d'une infrastructure défensive et mise en œuvre de politiques et de procédures pour protéger les systèmes d'information de l'entité concernée et les informations non publiques stockées sur ces systèmes d'information contre les accès, utilisations ou autres actes malveillants non autorisés.

s3-bucket-public-read-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
500.02(b)(2) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (2) utilisation d'une infrastructure défensive et mise en œuvre de politiques et de procédures pour protéger les systèmes d'information de l'entité concernée et les informations non publiques stockées sur ces systèmes d'information contre les accès, utilisations ou autres actes malveillants non autorisés.

s3-bucket-public-write-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
500.02(b)(2) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (2) utilisation d'une infrastructure défensive et mise en œuvre de politiques et de procédures pour protéger les systèmes d'information de l'entité concernée et les informations non publiques stockées sur ces systèmes d'information contre les accès, utilisations ou autres actes malveillants non autorisés.

sagemaker-notebook-no-direct-internet-access

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles.
500.02(b)(2) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (2) utilisation d'une infrastructure défensive et mise en œuvre de politiques et de procédures pour protéger les systèmes d'information de l'entité concernée et les informations non publiques stockées sur ces systèmes d'information contre les accès, utilisations ou autres actes malveillants non autorisés.

vpc-default-security-group-closed

Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources.
500.02(b)(2) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (2) utilisation d'une infrastructure défensive et mise en œuvre de politiques et de procédures pour protéger les systèmes d'information de l'entité concernée et les informations non publiques stockées sur ces systèmes d'information contre les accès, utilisations ou autres actes malveillants non autorisés.

vpc-sg-open-only-to-authorized-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes.
500.02(b)(2) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (2) utilisation d'une infrastructure défensive et mise en œuvre de politiques et de procédures pour protéger les systèmes d'information de l'entité concernée et les informations non publiques stockées sur ces systèmes d'information contre les accès, utilisations ou autres actes malveillants non autorisés.

alb-waf-enabled

Assurez-vous que AWS le WAF est activé sur les Elastic Load Balancers (ELB) pour protéger les applications Web. Un WAF aide à protéger vos applications Web ou API contre les menaces Web courantes. Ces attaques web peuvent affecter la disponibilité, compromettre la sécurité ou consommer des ressources excessives dans votre environnement.
500.02(b)(2) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (2) utilisation d'une infrastructure défensive et mise en œuvre de politiques et de procédures pour protéger les systèmes d'information de l'entité concernée et les informations non publiques stockées sur ces systèmes d'information contre les accès, utilisations ou autres actes malveillants non autorisés.

api-gw-associated-with-waf

AWS Le WAF vous permet de configurer un ensemble de règles (appelé liste de contrôle d'accès Web (ACL Web)) qui autorisent, bloquent ou comptent les requêtes Web en fonction de règles et de conditions de sécurité Web personnalisables que vous définissez. Assurez-vous que votre étape Amazon API Gateway est associée à une liste ACL Web WAF pour la protéger contre les attaques malveillantes
500.02(b)(2) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (2) utilisation d'une infrastructure défensive et mise en œuvre de politiques et de procédures pour protéger les systèmes d'information de l'entité concernée et les informations non publiques stockées sur ces systèmes d'information contre les accès, utilisations ou autres actes malveillants non autorisés.

no-unrestricted-route-to-igw

Assurez-vous que les tables de routage Amazon EC2 ne disposent pas de routes illimitées vers une passerelle Internet. La suppression ou la limitation de l'accès à Internet pour les charges de travail au sein des réseaux Amazon VPC peut réduire les accès imprévus au sein de votre environnement.
500.02(b)(2) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (2) utilisation d'une infrastructure défensive et mise en œuvre de politiques et de procédures pour protéger les systèmes d'information de l'entité concernée et les informations non publiques stockées sur ces systèmes d'information contre les accès, utilisations ou autres actes malveillants non autorisés.

s3-account-level-public-access-blocks-periodic

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation.
500.02(b)(2) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (2) utilisation d'une infrastructure défensive et mise en œuvre de politiques et de procédures pour protéger les systèmes d'information de l'entité concernée et les informations non publiques stockées sur ces systèmes d'information contre les accès, utilisations ou autres actes malveillants non autorisés.

ssm-document-not-public

Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes.
500.02(b)(2) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (2) utilisation d'une infrastructure défensive et mise en œuvre de politiques et de procédures pour protéger les systèmes d'information de l'entité concernée et les informations non publiques stockées sur ces systèmes d'information contre les accès, utilisations ou autres actes malveillants non autorisés.

opensearch-in-vpc-only

Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
500.02(b)(3) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (3) détection des événements de cybersécurité.

opensearch-logs-to-cloudwatch

Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
500.02(b)(3) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (3) détection des événements de cybersécurité.

guardduty-enabled-centralized

Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
500.02(b)(3) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (3) détection des événements de cybersécurité.

securityhub-enabled

AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS
500.02(b)(3) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (3) détection des événements de cybersécurité.

api-gw-execution-logging-enabled

La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs.
500.02(b)(3) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (3) détection des événements de cybersécurité.

cloud-trail-cloud-watch-logs-enabled

Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
500.02(b)(3) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (3) détection des événements de cybersécurité.

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
500.02(b)(3) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (3) détection des événements de cybersécurité.

redshift-audit-logging-enabled

Pour recueillir des informations sur les connexions et les activités des utilisateurs sur votre cluster Amazon Redshift, assurez-vous que la journalisation des audits est activée.
500.02(b)(3) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (3) détection des événements de cybersécurité.

ec2-instance-detailed-monitoring-enabled

Activez cette règle pour améliorer la surveillance des instances Amazon Elastic Compute Cloud (Amazon EC2) sur la console Amazon EC2, qui affiche des graphiques de surveillance toutes les minutes pour l'instance.
500.02(b)(3) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (3) détection des événements de cybersécurité.

ec2-managedinstance-association-compliance-status-check

Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des niveaux de référence pour les niveaux de correctifs du système d'exploitation, les installations de logiciels, les configurations d'applications et d'autres informations relatives à votre environnement.
500.02(b)(3) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (3) détection des événements de cybersécurité.

elasticsearch-logs-to-cloudwatch

Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
500.02(b)(3) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (3) détection des événements de cybersécurité.

rds-enhanced-monitoring-enabled

Activez Amazon Relational Database Service (Amazon RDS) pour surveiller la disponibilité d'Amazon RDS. Vous disposez ainsi d'une visibilité détaillée sur l'état de vos instances de base de données Amazon RDS. Lorsque le stockage Amazon RDS utilise plusieurs appareils physiques sous-jacents, Enhanced Monitoring collecte les données pour chaque appareil. En outre, lorsque l'instance de base de données Amazon RDS est exécutée dans le cadre d'un déploiement Multi-AZ, les données de chaque appareil sur l'hôte secondaire sont collectées, ainsi que les métriques de l'hôte secondaire.
500.02(b)(3) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (3) détection des événements de cybersécurité.

cloudtrail-s3-dataevents-enabled

La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les Compte AWS informations qui ont accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
500.02(b)(3) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (3) détection des événements de cybersécurité.

elb-logging-enabled

L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur.
500.02(b)(3) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (3) détection des événements de cybersécurité.

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
500.02(b)(3) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (3) détection des événements de cybersécurité.

s3-bucket-logging-enabled

La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
500.02(b)(3) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (3) détection des événements de cybersécurité.

opensearch-audit-logging-enabled

Assurez-vous que la journalisation des audits est activée sur vos domaines Amazon OpenSearch Service. La journalisation des audits vous permet de suivre l'activité des utilisateurs sur vos OpenSearch domaines, notamment les réussites et les échecs d'authentification, les demandes OpenSearch, les modifications d'index et les requêtes de recherche entrantes.
500.02(b)(3) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (3) détection des événements de cybersécurité.

vpc-flow-logs-enabled

Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
500.02(b)(3) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (3) détection des événements de cybersécurité.

codebuild-project-logging-enabled

Assurez-vous que la journalisation AWS CodeBuild du projet est activée afin que les journaux de sortie de votre build soient envoyés à Amazon CloudWatch ou à Amazon Simple Storage Service (Amazon S3). Les journaux de résultats de génération fournissent des informations détaillées sur votre projet de génération.
500.02(b)(3) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (3) détection des événements de cybersécurité.

rds-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
500.02(b)(3) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (3) détection des événements de cybersécurité.

wafv2-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait.
500.02(b)(3) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (3) détection des événements de cybersécurité.

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
500.02(b)(5) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (5) reprise après un événement de cybersécurité et rétablissement des opérations et des services normaux.

db-instance-backup-enabled

La fonctionnalité de sauvegarde d'Amazon RDS crée des sauvegardes de vos bases de données et de vos journaux de transactions. Amazon RDS crée automatiquement un instantané du volume de stockage de votre instance de base de données, en sauvegardant l'intégralité de cette dernière. Le système vous permet de définir des périodes de conservation spécifiques pour répondre à vos exigences de résilience.
500.02(b)(5) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (5) reprise après un événement de cybersécurité et rétablissement des opérations et des services normaux.

redshift-backup-enabled

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos clusters Amazon Redshift disposent d'instantanés automatisés. Lorsque les instantanés automatiques sont activés pour un cluster, Redshift prend régulièrement des instantanés de ce cluster. Par défaut, Redshift prend un instantané toutes les huit heures ou tous les 5 Go pour chaque nœud de modification des données, ou selon la première éventualité.
500.02(b)(5) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (5) reprise après un événement de cybersécurité et rétablissement des opérations et des services normaux.

dynamodb-pitr-enabled

Activez cette règle pour vérifier que les informations ont été sauvegardées. Il gère également les sauvegardes en s'assurant que la point-in-time restauration est activée dans Amazon DynamoDB. La récupération permet de maintenir des sauvegardes continues de votre table pour les 35 derniers jours.
500.02(b)(5) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (5) reprise après un événement de cybersécurité et rétablissement des opérations et des services normaux.

ebs-optimized-instance

Une instance optimisée dans Amazon Elastic Block Store (Amazon EBS) fournit une capacité supplémentaire dédiée aux opérations d'E/S d'Amazon EBS. Cette optimisation offre les performances les plus efficaces pour vos volumes EBS en minimisant les conflits entre les opérations d'E/S d'Amazon EBS et le trafic restant de votre instance.
500.02(b)(5) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (5) reprise après un événement de cybersécurité et rétablissement des opérations et des services normaux.

elasticache-redis-cluster-automatic-backup-check

Lorsque les sauvegardes automatiques sont activées, Amazon ElastiCache crée une sauvegarde du cluster quotidiennement. La sauvegarde peut être conservée pendant un nombre de jours défini par votre organisation. Les sauvegardes automatiques peuvent constituer une protection contre la perte de données. En cas de défaillance, vous pouvez créer un nouveau cluster, ce qui restaurera vos données à partir de la sauvegarde la plus récente.
500.02(b)(5) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (5) reprise après un événement de cybersécurité et rétablissement des opérations et des services normaux.

s3-bucket-replication-enabled

La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données.
500.02(b)(5) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (5) reprise après un événement de cybersécurité et rétablissement des opérations et des services normaux.

s3-bucket-versioning-enabled

La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative.
500.02(b)(5) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (5) reprise après un événement de cybersécurité et rétablissement des opérations et des services normaux.

dynamodb-in-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos tables Amazon DynamoDB font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
500.02(b)(5) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (5) reprise après un événement de cybersécurité et rétablissement des opérations et des services normaux.

ebs-in-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos volumes Amazon Elastic Block Store (Amazon EBS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
500.02(b)(5) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (5) reprise après un événement de cybersécurité et rétablissement des opérations et des services normaux.

efs-in-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon Elastic File System (Amazon EFS) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
500.02(b)(5) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (5) reprise après un événement de cybersécurité et rétablissement des opérations et des services normaux.

rds-in-backup-plan

Pour faciliter les processus de sauvegarde des données, assurez-vous que vos instances Amazon Relational Database Service (Amazon RDS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde.
500.02(b)(5) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (5) reprise après un événement de cybersécurité et rétablissement des opérations et des services normaux.

backup-plan-min-frequency-and-min-retention-check

Pour faciliter les processus de sauvegarde des données, assurez-vous que votre plan AWS de sauvegarde est défini pour une fréquence et une rétention minimales. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Cette règle vous permet de définir les paramètres requiredFrequencyValue (Config par défaut : 1), requiredRetentionDays (Config par défaut : 35) et requiredFrequencyUnit (Config par défaut : jours). La valeur réelle doit refléter les exigences de votre organisation.
500.02(b)(5) (b) Le programme de cybersécurité doit être fondé sur l'évaluation des risques de l'entité concernée et conçu pour remplir les fonctions essentielles de cybersécurité suivantes : (5) reprise après un événement de cybersécurité et rétablissement des opérations et des services normaux.

backup-recovery-point-manual-deletion-disabled

Assurez-vous que vos points AWS de restauration Backup sont associés à une politique basée sur les ressources qui empêche la suppression de points de restauration. L'utilisation d'une politique basée sur les ressources pour empêcher la suppression des points de récupération peut aider à empêcher les suppressions accidentelles ou intentionnelles.
500,05 Le programme de cybersécurité de chaque entité concernée comprend une surveillance et des tests, élaborés conformément à l'évaluation des risques de l'entité concernée, destinés à évaluer l'efficacité du programme de cybersécurité de l'entité concernée. La surveillance et les tests comprennent une surveillance continue ou des tests de pénétration périodiques et des évaluations de la vulnérabilité. En l'absence d'une surveillance continue efficace ou d'autres systèmes permettant de détecter, en permanence, les modifications des systèmes d'information susceptibles de créer ou d'indiquer des vulnérabilités, les entités concernées doivent effectuer : (a) des tests de pénétration annuels des systèmes d'information de l'entité concernée déterminés chaque année en fonction des risques identifiés conformément à l'évaluation des risques ; et (b) des évaluations semestrielles des vulnérabilités de vulnérabilité, notamment des analyses ou des examens systématiques des systèmes d'information raisonnablement conçus pour identifier les vulnérabilités de cybersécurité connues du public dans les systèmes d'information de l'entité concernée, en fonction de l'évaluation des risques. vuln-management-plan-exists (vérification du processus) Veillez à ce qu'un plan de gestion des vulnérabilités soit élaboré et mis en œuvre afin de disposer de processus officiellement définis pour remédier aux vulnérabilités dans votre environnement.
500.06 (a) (a) Chaque entité concernée doit maintenir en toute sécurité des systèmes qui, dans la mesure applicable et en fonction de son évaluation des risques : (1) sont conçus pour reconstituer les transactions financières importantes suffisantes pour soutenir les opérations et obligations normales de l'entité concernée ; et (2) comprennent des pistes d'audit conçues pour détecter les événements de cybersécurité qui ont une probabilité raisonnable de nuire de manière significative à toute partie importante des opérations normales de l'entité concernée, et y répondre.

api-gw-execution-logging-enabled

La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs.
500.06 (a) (a) Chaque entité concernée doit maintenir en toute sécurité des systèmes qui, dans la mesure applicable et en fonction de son évaluation des risques : (1) sont conçus pour reconstituer les transactions financières importantes suffisantes pour soutenir les opérations et obligations normales de l'entité concernée ; et (2) comprennent des pistes d'audit conçues pour détecter les événements de cybersécurité qui ont une probabilité raisonnable de nuire de manière significative à toute partie importante des opérations normales de l'entité concernée, et y répondre.

cloud-trail-cloud-watch-logs-enabled

Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
500.06 (a) (a) Chaque entité concernée doit maintenir en toute sécurité des systèmes qui, dans la mesure applicable et en fonction de son évaluation des risques : (1) sont conçus pour reconstituer les transactions financières importantes suffisantes pour soutenir les opérations et obligations normales de l'entité concernée ; et (2) comprennent des pistes d'audit conçues pour détecter les événements de cybersécurité qui ont une probabilité raisonnable de nuire de manière significative à toute partie importante des opérations normales de l'entité concernée, et y répondre.

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
500.06 (a) (a) Chaque entité concernée doit maintenir en toute sécurité des systèmes qui, dans la mesure applicable et en fonction de son évaluation des risques : (1) sont conçus pour reconstituer les transactions financières importantes suffisantes pour soutenir les opérations et obligations normales de l'entité concernée ; et (2) comprennent des pistes d'audit conçues pour détecter les événements de cybersécurité qui ont une probabilité raisonnable de nuire de manière significative à toute partie importante des opérations normales de l'entité concernée, et y répondre.

cloudtrail-s3-dataevents-enabled

La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les Compte AWS informations qui ont accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
500.06 (a) (a) Chaque entité concernée doit maintenir en toute sécurité des systèmes qui, dans la mesure applicable et en fonction de son évaluation des risques : (1) sont conçus pour reconstituer les transactions financières importantes suffisantes pour soutenir les opérations et obligations normales de l'entité concernée ; et (2) comprennent des pistes d'audit conçues pour détecter les événements de cybersécurité qui ont une probabilité raisonnable de nuire de manière significative à toute partie importante des opérations normales de l'entité concernée, et y répondre.

elb-logging-enabled

L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur.
500.06 (a) (a) Chaque entité concernée doit maintenir en toute sécurité des systèmes qui, dans la mesure applicable et en fonction de son évaluation des risques : (1) sont conçus pour reconstituer les transactions financières importantes suffisantes pour soutenir les opérations et obligations normales de l'entité concernée ; et (2) comprennent des pistes d'audit conçues pour détecter les événements de cybersécurité qui ont une probabilité raisonnable de nuire de manière significative à toute partie importante des opérations normales de l'entité concernée, et y répondre.

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
500.06 (a) (a) Chaque entité concernée doit maintenir en toute sécurité des systèmes qui, dans la mesure applicable et en fonction de son évaluation des risques : (1) sont conçus pour reconstituer les transactions financières importantes suffisantes pour soutenir les opérations et obligations normales de l'entité concernée ; et (2) comprennent des pistes d'audit conçues pour détecter les événements de cybersécurité qui ont une probabilité raisonnable de nuire de manière significative à toute partie importante des opérations normales de l'entité concernée, et y répondre.

s3-bucket-logging-enabled

La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
500.06 (a) (a) Chaque entité concernée doit maintenir en toute sécurité des systèmes qui, dans la mesure applicable et en fonction de son évaluation des risques : (1) sont conçus pour reconstituer les transactions financières importantes suffisantes pour soutenir les opérations et obligations normales de l'entité concernée ; et (2) comprennent des pistes d'audit conçues pour détecter les événements de cybersécurité qui ont une probabilité raisonnable de nuire de manière significative à toute partie importante des opérations normales de l'entité concernée, et y répondre.

vpc-flow-logs-enabled

Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
500.06 (a) (a) Chaque entité concernée doit maintenir en toute sécurité des systèmes qui, dans la mesure applicable et en fonction de son évaluation des risques : (1) sont conçus pour reconstituer les transactions financières importantes suffisantes pour soutenir les opérations et obligations normales de l'entité concernée ; et (2) comprennent des pistes d'audit conçues pour détecter les événements de cybersécurité qui ont une probabilité raisonnable de nuire de manière significative à toute partie importante des opérations normales de l'entité concernée, et y répondre.

rds-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
500.06 (a) (a) Chaque entité concernée doit maintenir en toute sécurité des systèmes qui, dans la mesure applicable et en fonction de son évaluation des risques : (1) sont conçus pour reconstituer les transactions financières importantes suffisantes pour soutenir les opérations et obligations normales de l'entité concernée ; et (2) comprennent des pistes d'audit conçues pour détecter les événements de cybersécurité qui ont une probabilité raisonnable de nuire de manière significative à toute partie importante des opérations normales de l'entité concernée, et y répondre.

codebuild-project-logging-enabled

Assurez-vous que la journalisation AWS CodeBuild du projet est activée afin que les journaux de sortie de votre build soient envoyés à Amazon CloudWatch ou à Amazon Simple Storage Service (Amazon S3). Les journaux de résultats de génération fournissent des informations détaillées sur votre projet de génération.
500.06 (a) (a) Chaque entité concernée doit maintenir en toute sécurité des systèmes qui, dans la mesure applicable et en fonction de son évaluation des risques : (1) sont conçus pour reconstituer les transactions financières importantes suffisantes pour soutenir les opérations et obligations normales de l'entité concernée ; et (2) comprennent des pistes d'audit conçues pour détecter les événements de cybersécurité qui ont une probabilité raisonnable de nuire de manière significative à toute partie importante des opérations normales de l'entité concernée, et y répondre.

redshift-audit-logging-enabled

Pour recueillir des informations sur les connexions et les activités des utilisateurs sur votre cluster Amazon Redshift, assurez-vous que la journalisation des audits est activée.
500.06 (a) (a) Chaque entité concernée doit maintenir en toute sécurité des systèmes qui, dans la mesure applicable et en fonction de son évaluation des risques : (1) sont conçus pour reconstituer les transactions financières importantes suffisantes pour soutenir les opérations et obligations normales de l'entité concernée ; et (2) comprennent des pistes d'audit conçues pour détecter les événements de cybersécurité qui ont une probabilité raisonnable de nuire de manière significative à toute partie importante des opérations normales de l'entité concernée, et y répondre.

wafv2-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait.
500.06 (a) (a) Chaque entité concernée doit maintenir en toute sécurité des systèmes qui, dans la mesure applicable et en fonction de son évaluation des risques : (1) sont conçus pour reconstituer les transactions financières importantes suffisantes pour soutenir les opérations et obligations normales de l'entité concernée ; et (2) comprennent des pistes d'audit conçues pour détecter les événements de cybersécurité qui ont une probabilité raisonnable de nuire de manière significative à toute partie importante des opérations normales de l'entité concernée, et y répondre.

opensearch-audit-logging-enabled

Assurez-vous que la journalisation des audits est activée sur vos domaines Amazon OpenSearch Service. La journalisation des audits vous permet de suivre l'activité des utilisateurs sur vos OpenSearch domaines, notamment les réussites et les échecs d'authentification, les demandes OpenSearch, les modifications d'index et les requêtes de recherche entrantes.
500.06 (a) (a) Chaque entité concernée doit maintenir en toute sécurité des systèmes qui, dans la mesure applicable et en fonction de son évaluation des risques : (1) sont conçus pour reconstituer les transactions financières importantes suffisantes pour soutenir les opérations et obligations normales de l'entité concernée ; et (2) comprennent des pistes d'audit conçues pour détecter les événements de cybersécurité qui ont une probabilité raisonnable de nuire de manière significative à toute partie importante des opérations normales de l'entité concernée, et y répondre.

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
500.06(b) (b) Chaque entité concernée doit conserver les enregistrements requis par l'article 500.06 (a)(1) de la présente partie pendant au moins cinq ans et les enregistrements requis par l'article 500.06 (a)(2) de la présente partie pendant au moins trois ans.

cw-loggroup-retention-period-check

Assurez-vous que la durée minimale de conservation des données des journaux d'événements pour vos groupes de journaux est suffisante pour faciliter le dépannage et les enquêtes judiciaires. Le manque de données disponibles dans les journaux d'événements passés complique la reconstitution et l'identification des événements potentiellement malveillants.
500.06 (a) (a) Chaque entité concernée doit maintenir en toute sécurité des systèmes qui, dans la mesure applicable et en fonction de son évaluation des risques : (1) sont conçus pour reconstituer les transactions financières importantes suffisantes pour soutenir les opérations et obligations normales de l'entité concernée ; et (2) comprennent des pistes d'audit conçues pour détecter les événements de cybersécurité qui ont une probabilité raisonnable de nuire de manière significative à toute partie importante des opérations normales de l'entité concernée, et y répondre.

elasticsearch-logs-to-cloudwatch

Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
500.06 (a) (a) Chaque entité concernée doit maintenir en toute sécurité des systèmes qui, dans la mesure applicable et en fonction de son évaluation des risques : (1) sont conçus pour reconstituer les transactions financières importantes suffisantes pour soutenir les opérations et obligations normales de l'entité concernée ; et (2) comprennent des pistes d'audit conçues pour détecter les événements de cybersécurité qui ont une probabilité raisonnable de nuire de manière significative à toute partie importante des opérations normales de l'entité concernée, et y répondre.

opensearch-logs-to-cloudwatch

Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
500,07 Dans le cadre de son programme de cybersécurité, en fonction de l'évaluation des risques de l'entité concernée, chaque entité concernée doit limiter les privilèges d'accès des utilisateurs aux systèmes d'information qui donnent accès à des informations non publiques et doit revoir périodiquement ces privilèges d'accès.

opensearch-in-vpc-only

Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
500,07 Dans le cadre de son programme de cybersécurité, en fonction de l'évaluation des risques de l'entité concernée, chaque entité concernée doit limiter les privilèges d'accès des utilisateurs aux systèmes d'information qui donnent accès à des informations non publiques et doit revoir périodiquement ces privilèges d'accès.

access-keys-rotated

Les informations d'identification sont auditées pour les appareils, les utilisateurs et les processus autorisés en veillant à ce que les clés d'accès IAM soient alternées conformément à la politique de l'organisation. La modification régulière des clés d'accès est une bonne pratique de sécurité. Cela permet de raccourcir la période pendant laquelle une clé d'accès est active et de réduire l'impact commercial en cas de compromission des clés. Cette règle nécessite une valeur de rotation des clés d'accès (configuration par défaut : 90). La valeur réelle doit refléter les politiques de votre organisation.
500,07 Dans le cadre de son programme de cybersécurité, en fonction de l'évaluation des risques de l'entité concernée, chaque entité concernée doit limiter les privilèges d'accès des utilisateurs aux systèmes d'information qui donnent accès à des informations non publiques et doit revoir périodiquement ces privilèges d'accès.

ecs-task-definition-user-for-host-mode-check

Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges.
500,07 Dans le cadre de son programme de cybersécurité, en fonction de l'évaluation des risques de l'entité concernée, chaque entité concernée doit limiter les privilèges d'accès des utilisateurs aux systèmes d'information qui donnent accès à des informations non publiques et doit revoir périodiquement ces privilèges d'accès.

no-unrestricted-route-to-igw

Assurez-vous que les tables de routage Amazon EC2 ne disposent pas de routes illimitées vers une passerelle Internet. La suppression ou la limitation de l'accès à Internet pour les charges de travail au sein des réseaux Amazon VPC peut réduire les accès imprévus au sein de votre environnement.
500,07 Dans le cadre de son programme de cybersécurité, en fonction de l'évaluation des risques de l'entité concernée, chaque entité concernée doit limiter les privilèges d'accès des utilisateurs aux systèmes d'information qui donnent accès à des informations non publiques et doit revoir périodiquement ces privilèges d'accès.

s3-account-level-public-access-blocks-periodic

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation.
500,07 Dans le cadre de son programme de cybersécurité, en fonction de l'évaluation des risques de l'entité concernée, chaque entité concernée doit limiter les privilèges d'accès des utilisateurs aux systèmes d'information qui donnent accès à des informations non publiques et doit revoir périodiquement ces privilèges d'accès.

ssm-document-not-public

Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes.
500,07 Dans le cadre de son programme de cybersécurité, en fonction de l'évaluation des risques de l'entité concernée, chaque entité concernée doit limiter les privilèges d'accès des utilisateurs aux systèmes d'information qui donnent accès à des informations non publiques et doit revoir périodiquement ces privilèges d'accès.

subnet-auto-assign-public-ip-disabled

Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale.
500,07 Dans le cadre de son programme de cybersécurité, en fonction de l'évaluation des risques de l'entité concernée, chaque entité concernée doit limiter les privilèges d'accès des utilisateurs aux systèmes d'information qui donnent accès à des informations non publiques et doit revoir périodiquement ces privilèges d'accès.

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation.
500,07 Dans le cadre de son programme de cybersécurité, en fonction de l'évaluation des risques de l'entité concernée, chaque entité concernée doit limiter les privilèges d'accès des utilisateurs aux systèmes d'information qui donnent accès à des informations non publiques et doit revoir périodiquement ces privilèges d'accès.

secretsmanager-rotation-enabled-check

Cette règle garantit que la rotation AWS des secrets de Secrets Manager est activée. La rotation régulière des secrets peut raccourcir la période pendant laquelle un secret est actif et potentiellement réduire l'impact commercial s'il est compromis.
500,07 Dans le cadre de son programme de cybersécurité, en fonction de l'évaluation des risques de l'entité concernée, chaque entité concernée doit limiter les privilèges d'accès des utilisateurs aux systèmes d'information qui donnent accès à des informations non publiques et doit revoir périodiquement ces privilèges d'accès.

secretsmanager-scheduled-rotation-success-check

Cette règle garantit que AWS les secrets de Secrets Manager ont été correctement transférés conformément au calendrier de rotation. La rotation régulière des secrets peut raccourcir la période pendant laquelle un secret est actif et potentiellement réduire l'impact commercial s'il est compromis.
500,07 Dans le cadre de son programme de cybersécurité, en fonction de l'évaluation des risques de l'entité concernée, chaque entité concernée doit limiter les privilèges d'accès des utilisateurs aux systèmes d'information qui donnent accès à des informations non publiques et doit revoir périodiquement ces privilèges d'accès.

emr-kerberos-enabled

Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal.
500,07 Dans le cadre de son programme de cybersécurité, en fonction de l'évaluation des risques de l'entité concernée, chaque entité concernée doit limiter les privilèges d'accès des utilisateurs aux systèmes d'information qui donnent accès à des informations non publiques et doit revoir périodiquement ces privilèges d'accès.

iam-group-has-users-check

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège.
500,07 Dans le cadre de son programme de cybersécurité, en fonction de l'évaluation des risques de l'entité concernée, chaque entité concernée doit limiter les privilèges d'accès des utilisateurs aux systèmes d'information qui donnent accès à des informations non publiques et doit revoir périodiquement ces privilèges d'accès.

iam-password-policy

Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation.
500,07 Dans le cadre de son programme de cybersécurité, en fonction de l'évaluation des risques de l'entité concernée, chaque entité concernée doit limiter les privilèges d'accès des utilisateurs aux systèmes d'information qui donnent accès à des informations non publiques et doit revoir périodiquement ces privilèges d'accès.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
500,07 Dans le cadre de son programme de cybersécurité, en fonction de l'évaluation des risques de l'entité concernée, chaque entité concernée doit limiter les privilèges d'accès des utilisateurs aux systèmes d'information qui donnent accès à des informations non publiques et doit revoir périodiquement ces privilèges d'accès.

iam-root-access-key-check

L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
500,07 Dans le cadre de son programme de cybersécurité, en fonction de l'évaluation des risques de l'entité concernée, chaque entité concernée doit limiter les privilèges d'accès des utilisateurs aux systèmes d'information qui donnent accès à des informations non publiques et doit revoir périodiquement ces privilèges d'accès.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
500,07 Dans le cadre de son programme de cybersécurité, en fonction de l'évaluation des risques de l'entité concernée, chaque entité concernée doit limiter les privilèges d'accès des utilisateurs aux systèmes d'information qui donnent accès à des informations non publiques et doit revoir périodiquement ces privilèges d'accès.

iam-user-no-policies-check

Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs.
500,07 Dans le cadre de son programme de cybersécurité, en fonction de l'évaluation des risques de l'entité concernée, chaque entité concernée doit limiter les privilèges d'accès des utilisateurs aux systèmes d'information qui donnent accès à des informations non publiques et doit revoir périodiquement ces privilèges d'accès.

s3-bucket-policy-grantee-check

Gérez l'accès au AWS cloud en activant s3_ bucket_policy_grantee_check. Cette règle vérifie que l'accès accordé par le compartiment Amazon S3 est limité par les principaux, les utilisateurs fédérés, AWS les principaux de service, les adresses IP ou les identifiants Amazon Virtual Private Cloud (Amazon VPC) que vous fournissez.
500,07 Dans le cadre de son programme de cybersécurité, en fonction de l'évaluation des risques de l'entité concernée, chaque entité concernée doit limiter les privilèges d'accès des utilisateurs aux systèmes d'information qui donnent accès à des informations non publiques et doit revoir périodiquement ces privilèges d'accès.

iam-no-inline-policy-check

Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations.
500,07 Dans le cadre de son programme de cybersécurité, en fonction de l'évaluation des risques de l'entité concernée, chaque entité concernée doit limiter les privilèges d'accès des utilisateurs aux systèmes d'information qui donnent accès à des informations non publiques et doit revoir périodiquement ces privilèges d'accès.

dms-replication-not-public

Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
500,07 Dans le cadre de son programme de cybersécurité, en fonction de l'évaluation des risques de l'entité concernée, chaque entité concernée doit limiter les privilèges d'accès des utilisateurs aux systèmes d'information qui donnent accès à des informations non publiques et doit revoir périodiquement ces privilèges d'accès.

ebs-snapshot-public-restorable-check

Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
500,07 Dans le cadre de son programme de cybersécurité, en fonction de l'évaluation des risques de l'entité concernée, chaque entité concernée doit limiter les privilèges d'accès des utilisateurs aux systèmes d'information qui donnent accès à des informations non publiques et doit revoir périodiquement ces privilèges d'accès.

ec2-instance-no-public-ip

Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
500,07 Dans le cadre de son programme de cybersécurité, en fonction de l'évaluation des risques de l'entité concernée, chaque entité concernée doit limiter les privilèges d'accès des utilisateurs aux systèmes d'information qui donnent accès à des informations non publiques et doit revoir périodiquement ces privilèges d'accès.

elasticsearch-in-vpc-only

Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN.
500,07 Dans le cadre de son programme de cybersécurité, en fonction de l'évaluation des risques de l'entité concernée, chaque entité concernée doit limiter les privilèges d'accès des utilisateurs aux systèmes d'information qui donnent accès à des informations non publiques et doit revoir périodiquement ces privilèges d'accès.

emr-master-no-public-ip

Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes.
500,07 Dans le cadre de son programme de cybersécurité, en fonction de l'évaluation des risques de l'entité concernée, chaque entité concernée doit limiter les privilèges d'accès des utilisateurs aux systèmes d'information qui donnent accès à des informations non publiques et doit revoir périodiquement ces privilèges d'accès.

ec2-instances-in-vpc

Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès.
500,07 Dans le cadre de son programme de cybersécurité, en fonction de l'évaluation des risques de l'entité concernée, chaque entité concernée doit limiter les privilèges d'accès des utilisateurs aux systèmes d'information qui donnent accès à des informations non publiques et doit revoir périodiquement ces privilèges d'accès.

internet-gateway-authorized-vpc-only

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les passerelles Internet ne sont connectées qu'à Amazon Virtual Private Cloud (Amazon VPC) autorisé. Les passerelles Internet permettent un accès bidirectionnel à Internet depuis et vers le réseau Amazon VPC, ce qui peut potentiellement entraîner un accès non autorisé aux ressources Amazon VPC.
500,07 Dans le cadre de son programme de cybersécurité, en fonction de l'évaluation des risques de l'entité concernée, chaque entité concernée doit limiter les privilèges d'accès des utilisateurs aux systèmes d'information qui donnent accès à des informations non publiques et doit revoir périodiquement ces privilèges d'accès.

lambda-function-public-access-prohibited

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources.
500,07 Dans le cadre de son programme de cybersécurité, en fonction de l'évaluation des risques de l'entité concernée, chaque entité concernée doit limiter les privilèges d'accès des utilisateurs aux systèmes d'information qui donnent accès à des informations non publiques et doit revoir périodiquement ces privilèges d'accès.

lambda-inside-vpc

Déployez les fonctions AWS Lambda dans un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC.
500,07 Dans le cadre de son programme de cybersécurité, en fonction de l'évaluation des risques de l'entité concernée, chaque entité concernée doit limiter les privilèges d'accès des utilisateurs aux systèmes d'information qui donnent accès à des informations non publiques et doit revoir périodiquement ces privilèges d'accès.

rds-instance-public-access-check

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
500,07 Dans le cadre de son programme de cybersécurité, en fonction de l'évaluation des risques de l'entité concernée, chaque entité concernée doit limiter les privilèges d'accès des utilisateurs aux systèmes d'information qui donnent accès à des informations non publiques et doit revoir périodiquement ces privilèges d'accès.

rds-snapshots-public-prohibited

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
500,07 Dans le cadre de son programme de cybersécurité, en fonction de l'évaluation des risques de l'entité concernée, chaque entité concernée doit limiter les privilèges d'accès des utilisateurs aux systèmes d'information qui donnent accès à des informations non publiques et doit revoir périodiquement ces privilèges d'accès.

redshift-cluster-public-access-check

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
500,07 Dans le cadre de son programme de cybersécurité, en fonction de l'évaluation des risques de l'entité concernée, chaque entité concernée doit limiter les privilèges d'accès des utilisateurs aux systèmes d'information qui donnent accès à des informations non publiques et doit revoir périodiquement ces privilèges d'accès.

s3-bucket-public-read-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
500,07 Dans le cadre de son programme de cybersécurité, en fonction de l'évaluation des risques de l'entité concernée, chaque entité concernée doit limiter les privilèges d'accès des utilisateurs aux systèmes d'information qui donnent accès à des informations non publiques et doit revoir périodiquement ces privilèges d'accès.

s3-bucket-public-write-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
500,07 Dans le cadre de son programme de cybersécurité, en fonction de l'évaluation des risques de l'entité concernée, chaque entité concernée doit limiter les privilèges d'accès des utilisateurs aux systèmes d'information qui donnent accès à des informations non publiques et doit revoir périodiquement ces privilèges d'accès.

sagemaker-notebook-no-direct-internet-access

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles.
500.8 (a) (a) Le programme de cybersécurité de chaque entité concernée doit comprendre des procédures écrites, des directives et des normes conçues pour garantir l'utilisation de pratiques de développement sécurisées pour les applications développées en interne et utilisées par l'entité concernée, ainsi que des procédures d'évaluation, de contrôle ou de test de la sécurité des applications développées en externe et utilisées par l'entité concernée dans le contexte de l'environnement technologique de l'entité concernée.

codebuild-project-envvar-awscred-check

Assurez-vous que les informations d'authentification AWS_ACCESS_KEY_ID et AWS_SECRET_ACCESS_KEY n'existent pas dans les environnements de projet Codebuild. AWS Ne stockez pas ces variables en clair. Le stockage de ces variables en clair entraîne une exposition involontaire des données et un accès non autorisé.
500.8 (a) (a) Le programme de cybersécurité de chaque entité concernée doit comprendre des procédures écrites, des directives et des normes conçues pour garantir l'utilisation de pratiques de développement sécurisées pour les applications développées en interne et utilisées par l'entité concernée, ainsi que des procédures d'évaluation, de contrôle ou de test de la sécurité des applications développées en externe et utilisées par l'entité concernée dans le contexte de l'environnement technologique de l'entité concernée.

codebuild-project-source-repo-url-check

Assurez-vous que l'URL du référentiel source GitHub ou de Bitbucket ne contient pas de jetons d'accès personnels ni d'identifiants de connexion dans les environnements de projet AWS Codebuild. Utilisez OAuth au lieu de jetons d'accès personnels ou d'identifiants de connexion pour autoriser l'accès aux GitHub référentiels Bitbucket.
500,09 (a) Chaque entité concernée doit procéder à une évaluation périodique des risques liés aux systèmes d'information de l'entité concernée, suffisante pour étayer la conception du programme de cybersécurité requis par la présente partie. Cette évaluation des risques est mise à jour lorsque cela est raisonnablement nécessaire pour tenir compte des modifications apportées aux systèmes d'information, aux informations non publiques ou aux opérations commerciales de l'entité concernée. L'évaluation des risques de l'entité concernée doit permettre de réviser les contrôles pour répondre aux développements technologiques et à l'évolution des menaces et doit prendre en compte les risques particuliers des opérations commerciales de l'entité concernée liés à la cybersécurité, aux informations non publiques collectées ou stockées, aux systèmes d'information utilisés ainsi qu'à la disponibilité et à l'efficacité des contrôles visant à protéger les informations non publiques et les systèmes d'information. annual-risk-assessment-performed (vérification du processus) > Effectuez une évaluation annuelle des risques au sein de votre organisation. Les évaluations des risques peuvent aider à déterminer la probabilité et l'impact des risques et/ou des vulnérabilités identifiés sur une organisation.
500,12 (a) Authentification multifactorielle. En fonction de son évaluation des risques, chaque entité concernée doit utiliser des contrôles efficaces, qui peuvent inclure l'authentification multifactorielle ou l'authentification basée sur les risques, pour se protéger contre l'accès non autorisé aux informations non publiques ou aux systèmes d'information. (b) L'authentification multifactorielle doit être utilisée pour toute personne accédant aux réseaux internes de l'entité concernée à partir d'un réseau externe, à moins que le RSSI de l'entité concernée n'ait approuvé par écrit l'utilisation de contrôles d'accès raisonnablement équivalents ou plus sûrs.

iam-user-mfa-enabled

Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs.
500,12 (a) Authentification multifactorielle. En fonction de son évaluation des risques, chaque entité concernée doit utiliser des contrôles efficaces, qui peuvent inclure l'authentification multifactorielle ou l'authentification basée sur les risques, pour se protéger contre l'accès non autorisé aux informations non publiques ou aux systèmes d'information. (b) L'authentification multifactorielle doit être utilisée pour toute personne accédant aux réseaux internes de l'entité concernée à partir d'un réseau externe, à moins que le RSSI de l'entité concernée n'ait approuvé par écrit l'utilisation de contrôles d'accès raisonnablement équivalents ou plus sûrs.

mfa-enabled-for-iam-console-access

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles.
500,12 (a) Authentification multifactorielle. En fonction de son évaluation des risques, chaque entité concernée doit utiliser des contrôles efficaces, qui peuvent inclure l'authentification multifactorielle ou l'authentification basée sur les risques, pour se protéger contre l'accès non autorisé aux informations non publiques ou aux systèmes d'information. (b) L'authentification multifactorielle doit être utilisée pour toute personne accédant aux réseaux internes de l'entité concernée à partir d'un réseau externe, à moins que le RSSI de l'entité concernée n'ait approuvé par écrit l'utilisation de contrôles d'accès raisonnablement équivalents ou plus sûrs.

iam-root-access-key-check

L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
500,12 (a) Authentification multifactorielle. En fonction de son évaluation des risques, chaque entité concernée doit utiliser des contrôles efficaces, qui peuvent inclure l'authentification multifactorielle ou l'authentification basée sur les risques, pour se protéger contre l'accès non autorisé aux informations non publiques ou aux systèmes d'information. (b) L'authentification multifactorielle doit être utilisée pour toute personne accédant aux réseaux internes de l'entité concernée à partir d'un réseau externe, à moins que le RSSI de l'entité concernée n'ait approuvé par écrit l'utilisation de contrôles d'accès raisonnablement équivalents ou plus sûrs.

root-account-hardware-mfa-enabled

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. La MFA ajoute une couche supplémentaire de protection pour les informations d'identification de connexion En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS
500,12 (a) Authentification multifactorielle. En fonction de son évaluation des risques, chaque entité concernée doit utiliser des contrôles efficaces, qui peuvent inclure l'authentification multifactorielle ou l'authentification basée sur les risques, pour se protéger contre l'accès non autorisé aux informations non publiques ou aux systèmes d'information. (b) L'authentification multifactorielle doit être utilisée pour toute personne accédant aux réseaux internes de l'entité concernée à partir d'un réseau externe, à moins que le RSSI de l'entité concernée n'ait approuvé par écrit l'utilisation de contrôles d'accès raisonnablement équivalents ou plus sûrs.

root-account-mfa-enabled

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. La MFA ajoute une couche supplémentaire de protection pour les informations d'identification de connexion En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS
500.14 (a) (a) mettre en œuvre des politiques, des procédures et des contrôles fondés sur les risques et conçus pour surveiller l'activité des utilisateurs autorisés et détecter l'accès, l'utilisation ou la modification non autorisés des informations non publiques par ces utilisateurs autorisés.

cloudwatch-alarm-action-check

Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement.
500.14 (a) (a) mettre en œuvre des politiques, des procédures et des contrôles fondés sur les risques et conçus pour surveiller l'activité des utilisateurs autorisés et détecter l'accès, l'utilisation ou la modification non autorisés des informations non publiques par ces utilisateurs autorisés.

api-gw-execution-logging-enabled

La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs.
500.14 (a) (a) mettre en œuvre des politiques, des procédures et des contrôles fondés sur les risques et conçus pour surveiller l'activité des utilisateurs autorisés et détecter l'accès, l'utilisation ou la modification non autorisés des informations non publiques par ces utilisateurs autorisés.

cloud-trail-cloud-watch-logs-enabled

Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS.
500.14 (a) (a) mettre en œuvre des politiques, des procédures et des contrôles fondés sur les risques et conçus pour surveiller l'activité des utilisateurs autorisés et détecter l'accès, l'utilisation ou la modification non autorisés des informations non publiques par ces utilisateurs autorisés.

cloudtrail-enabled

AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement.
500.14 (a) (a) mettre en œuvre des politiques, des procédures et des contrôles fondés sur les risques et conçus pour surveiller l'activité des utilisateurs autorisés et détecter l'accès, l'utilisation ou la modification non autorisés des informations non publiques par ces utilisateurs autorisés.

cloudtrail-s3-dataevents-enabled

La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les Compte AWS informations qui ont accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
500.14 (a) (a) mettre en œuvre des politiques, des procédures et des contrôles fondés sur les risques et conçus pour surveiller l'activité des utilisateurs autorisés et détecter l'accès, l'utilisation ou la modification non autorisés des informations non publiques par ces utilisateurs autorisés.

elb-logging-enabled

L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur.
500.14 (a) (a) mettre en œuvre des politiques, des procédures et des contrôles fondés sur les risques et conçus pour surveiller l'activité des utilisateurs autorisés et détecter l'accès, l'utilisation ou la modification non autorisés des informations non publiques par ces utilisateurs autorisés.

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit.
500.14 (a) (a) mettre en œuvre des politiques, des procédures et des contrôles fondés sur les risques et conçus pour surveiller l'activité des utilisateurs autorisés et détecter l'accès, l'utilisation ou la modification non autorisés des informations non publiques par ces utilisateurs autorisés.

s3-bucket-logging-enabled

La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
500.14 (a) (a) mettre en œuvre des politiques, des procédures et des contrôles fondés sur les risques et conçus pour surveiller l'activité des utilisateurs autorisés et détecter l'accès, l'utilisation ou la modification non autorisés des informations non publiques par ces utilisateurs autorisés.

vpc-flow-logs-enabled

Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
500.14 (a) (a) mettre en œuvre des politiques, des procédures et des contrôles fondés sur les risques et conçus pour surveiller l'activité des utilisateurs autorisés et détecter l'accès, l'utilisation ou la modification non autorisés des informations non publiques par ces utilisateurs autorisés.

cw-loggroup-retention-period-check

Assurez-vous que la durée minimale de conservation des données des journaux d'événements pour vos groupes de journaux est suffisante pour faciliter le dépannage et les enquêtes judiciaires. Le manque de données disponibles dans les journaux d'événements passés complique la reconstitution et l'identification des événements potentiellement malveillants.
500.14 (a) (a) mettre en œuvre des politiques, des procédures et des contrôles fondés sur les risques et conçus pour surveiller l'activité des utilisateurs autorisés et détecter l'accès, l'utilisation ou la modification non autorisés des informations non publiques par ces utilisateurs autorisés.

rds-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
500.14 (a) (a) mettre en œuvre des politiques, des procédures et des contrôles fondés sur les risques et conçus pour surveiller l'activité des utilisateurs autorisés et détecter l'accès, l'utilisation ou la modification non autorisés des informations non publiques par ces utilisateurs autorisés.

codebuild-project-logging-enabled

Assurez-vous que la journalisation AWS CodeBuild du projet est activée afin que les journaux de sortie de votre build soient envoyés à Amazon CloudWatch ou à Amazon Simple Storage Service (Amazon S3). Les journaux de résultats de génération fournissent des informations détaillées sur votre projet de génération.
500.14 (a) (a) mettre en œuvre des politiques, des procédures et des contrôles fondés sur les risques et conçus pour surveiller l'activité des utilisateurs autorisés et détecter l'accès, l'utilisation ou la modification non autorisés des informations non publiques par ces utilisateurs autorisés.

wafv2-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait.
500.14 (a) (a) mettre en œuvre des politiques, des procédures et des contrôles fondés sur les risques et conçus pour surveiller l'activité des utilisateurs autorisés et détecter l'accès, l'utilisation ou la modification non autorisés des informations non publiques par ces utilisateurs autorisés.

guardduty-enabled-centralized

Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
500.14 (a) (a) mettre en œuvre des politiques, des procédures et des contrôles fondés sur les risques et conçus pour surveiller l'activité des utilisateurs autorisés et détecter l'accès, l'utilisation ou la modification non autorisés des informations non publiques par ces utilisateurs autorisés.

securityhub-enabled

AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS
500.14 (a) (a) mettre en œuvre des politiques, des procédures et des contrôles fondés sur les risques et conçus pour surveiller l'activité des utilisateurs autorisés et détecter l'accès, l'utilisation ou la modification non autorisés des informations non publiques par ces utilisateurs autorisés.

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
500.14 (a) (a) mettre en œuvre des politiques, des procédures et des contrôles fondés sur les risques et conçus pour surveiller l'activité des utilisateurs autorisés et détecter l'accès, l'utilisation ou la modification non autorisés des informations non publiques par ces utilisateurs autorisés.

opensearch-audit-logging-enabled

Assurez-vous que la journalisation des audits est activée sur vos domaines Amazon OpenSearch Service. La journalisation des audits vous permet de suivre l'activité des utilisateurs sur vos OpenSearch domaines, notamment les réussites et les échecs d'authentification, les demandes OpenSearch, les modifications d'index et les requêtes de recherche entrantes.
500.14 (a) (a) mettre en œuvre des politiques, des procédures et des contrôles fondés sur les risques et conçus pour surveiller l'activité des utilisateurs autorisés et détecter l'accès, l'utilisation ou la modification non autorisés des informations non publiques par ces utilisateurs autorisés.

elasticsearch-logs-to-cloudwatch

Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
500.14 (a) (a) mettre en œuvre des politiques, des procédures et des contrôles fondés sur les risques et conçus pour surveiller l'activité des utilisateurs autorisés et détecter l'accès, l'utilisation ou la modification non autorisés des informations non publiques par ces utilisateurs autorisés.

redshift-audit-logging-enabled

Pour recueillir des informations sur les connexions et les activités des utilisateurs sur votre cluster Amazon Redshift, assurez-vous que la journalisation des audits est activée.
500.14 (a) (a) mettre en œuvre des politiques, des procédures et des contrôles fondés sur les risques et conçus pour surveiller l'activité des utilisateurs autorisés et détecter l'accès, l'utilisation ou la modification non autorisés des informations non publiques par ces utilisateurs autorisés.

opensearch-logs-to-cloudwatch

Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
500.14(b) Dans le cadre de son programme de cybersécurité, chaque entité concernée doit : (b) dispenser régulièrement à l'ensemble du personnel une formation de sensibilisation à la cybersécurité mise à jour pour tenir compte des risques identifiés par l'entité concernée dans le cadre de son évaluation des risques. security-awareness-program-exists (vérification du processus) Élaborez et maintenez un programme de sensibilisation à la sécurité pour votre organisation. Les programmes de sensibilisation à la sécurité visent à informer les employés sur la façon de protéger leur organisation contre divers incidents ou atteintes à la sécurité.
500.15 (a) (a) Dans le cadre de son programme de cybersécurité, en fonction de son évaluation des risques, chaque entité concernée doit mettre en œuvre des contrôles, notamment le chiffrement, pour protéger les informations non publiques détenues ou transmises par l'entité concernée, à la fois en transit sur des réseaux externes et au repos.

opensearch-encrypted-at-rest

Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch Service.
500.15 (a) (a) Dans le cadre de son programme de cybersécurité, en fonction de son évaluation des risques, chaque entité concernée doit mettre en œuvre des contrôles, notamment le chiffrement, pour protéger les informations non publiques détenues ou transmises par l'entité concernée, à la fois en transit sur des réseaux externes et au repos.

opensearch-node-to-node-encryption-check

Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
500.15 (a) (a) Dans le cadre de son programme de cybersécurité, en fonction de son évaluation des risques, chaque entité concernée doit mettre en œuvre des contrôles, notamment le chiffrement, pour protéger les informations non publiques détenues ou transmises par l'entité concernée, à la fois en transit sur des réseaux externes et au repos.

acm-certificate-expiration-check

Assurez-vous que l'intégrité du réseau est protégée en vous assurant que les certificats X509 sont émis par AWS ACM. Ces certificats doivent être valides et non expirés. Cette règle nécessite une valeur pour daysToExpiration (valeur des meilleures pratiques de sécuritéAWS fondamentales : 90). La valeur réelle doit refléter les politiques de votre organisation.
500.15 (a) (a) Dans le cadre de son programme de cybersécurité, en fonction de son évaluation des risques, chaque entité concernée doit mettre en œuvre des contrôles, notamment le chiffrement, pour protéger les informations non publiques détenues ou transmises par l'entité concernée, à la fois en transit sur des réseaux externes et au repos.

alb-http-to-https-redirection-check

Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
500.15 (a) (a) Dans le cadre de son programme de cybersécurité, en fonction de son évaluation des risques, chaque entité concernée doit mettre en œuvre des contrôles, notamment le chiffrement, pour protéger les informations non publiques détenues ou transmises par l'entité concernée, à la fois en transit sur des réseaux externes et au repos.

api-gw-cache-enabled-and-encrypted

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour le cache de votre environnement API Gateway. Étant donné que des données sensibles peuvent être capturées pour la méthode API, activez le chiffrement au repos pour protéger ces données.
500.15 (a) (a) Dans le cadre de son programme de cybersécurité, en fonction de son évaluation des risques, chaque entité concernée doit mettre en œuvre des contrôles, notamment le chiffrement, pour protéger les informations non publiques détenues ou transmises par l'entité concernée, à la fois en transit sur des réseaux externes et au repos.

cloud-trail-encryption-enabled

Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le cryptage est activé pour vos AWS CloudTrail pistes.
500.15 (a) (a) Dans le cadre de son programme de cybersécurité, en fonction de son évaluation des risques, chaque entité concernée doit mettre en œuvre des contrôles, notamment le chiffrement, pour protéger les informations non publiques détenues ou transmises par l'entité concernée, à la fois en transit sur des réseaux externes et au repos.

cloudwatch-log-group-encrypted

Pour protéger les données sensibles au repos, assurez-vous que le chiffrement est activé pour vos Amazon CloudWatch Log Groups.
500.15 (a) (a) Dans le cadre de son programme de cybersécurité, en fonction de son évaluation des risques, chaque entité concernée doit mettre en œuvre des contrôles, notamment le chiffrement, pour protéger les informations non publiques détenues ou transmises par l'entité concernée, à la fois en transit sur des réseaux externes et au repos.

efs-encrypted-check

Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour votre Amazon Elastic File System (EFS).
500.15 (a) (a) Dans le cadre de son programme de cybersécurité, en fonction de son évaluation des risques, chaque entité concernée doit mettre en œuvre des contrôles, notamment le chiffrement, pour protéger les informations non publiques détenues ou transmises par l'entité concernée, à la fois en transit sur des réseaux externes et au repos.

elasticsearch-encrypted-at-rest

Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch OpenSearch Service (Service).
500.15 (a) (a) Dans le cadre de son programme de cybersécurité, en fonction de son évaluation des risques, chaque entité concernée doit mettre en œuvre des contrôles, notamment le chiffrement, pour protéger les informations non publiques détenues ou transmises par l'entité concernée, à la fois en transit sur des réseaux externes et au repos.

elb-acm-certificate-required

Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes.
500.15 (a) (a) Dans le cadre de son programme de cybersécurité, en fonction de son évaluation des risques, chaque entité concernée doit mettre en œuvre des contrôles, notamment le chiffrement, pour protéger les informations non publiques détenues ou transmises par l'entité concernée, à la fois en transit sur des réseaux externes et au repos.

encrypted-volumes

Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS).
500.15 (a) (a) Dans le cadre de son programme de cybersécurité, en fonction de son évaluation des risques, chaque entité concernée doit mettre en œuvre des contrôles, notamment le chiffrement, pour protéger les informations non publiques détenues ou transmises par l'entité concernée, à la fois en transit sur des réseaux externes et au repos.

rds-storage-encrypted

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos dans les instances Amazon RDS, activez le chiffrement au repos pour protéger ces données.
500.15 (a) (a) Dans le cadre de son programme de cybersécurité, en fonction de son évaluation des risques, chaque entité concernée doit mettre en œuvre des contrôles, notamment le chiffrement, pour protéger les informations non publiques détenues ou transmises par l'entité concernée, à la fois en transit sur des réseaux externes et au repos.

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
500.15 (a) (a) Dans le cadre de son programme de cybersécurité, en fonction de son évaluation des risques, chaque entité concernée doit mettre en œuvre des contrôles, notamment le chiffrement, pour protéger les informations non publiques détenues ou transmises par l'entité concernée, à la fois en transit sur des réseaux externes et au repos.

redshift-require-tls-ssl

Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
500.15 (a) (a) Dans le cadre de son programme de cybersécurité, en fonction de son évaluation des risques, chaque entité concernée doit mettre en œuvre des contrôles, notamment le chiffrement, pour protéger les informations non publiques détenues ou transmises par l'entité concernée, à la fois en transit sur des réseaux externes et au repos.

s3-bucket-server-side-encryption-enabled

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données.
500.15 (a) (a) Dans le cadre de son programme de cybersécurité, en fonction de son évaluation des risques, chaque entité concernée doit mettre en œuvre des contrôles, notamment le chiffrement, pour protéger les informations non publiques détenues ou transmises par l'entité concernée, à la fois en transit sur des réseaux externes et au repos.

s3-bucket-ssl-requests-only

Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
500.15 (a) (a) Dans le cadre de son programme de cybersécurité, en fonction de son évaluation des risques, chaque entité concernée doit mettre en œuvre des contrôles, notamment le chiffrement, pour protéger les informations non publiques détenues ou transmises par l'entité concernée, à la fois en transit sur des réseaux externes et au repos.

sagemaker-endpoint-configuration-kms-key-configured

Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker terminal. Étant donné que les données sensibles peuvent exister au repos sur le SageMaker terminal, activez le chiffrement au repos pour protéger ces données.
500.15 (a) (a) Dans le cadre de son programme de cybersécurité, en fonction de son évaluation des risques, chaque entité concernée doit mettre en œuvre des contrôles, notamment le chiffrement, pour protéger les informations non publiques détenues ou transmises par l'entité concernée, à la fois en transit sur des réseaux externes et au repos.

sagemaker-notebook-instance-kms-key-configured

Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker ordinateur portable. Étant donné que des données sensibles peuvent exister au repos dans le SageMaker bloc-notes, activez le chiffrement au repos pour protéger ces données.
500.15 (a) (a) Dans le cadre de son programme de cybersécurité, en fonction de son évaluation des risques, chaque entité concernée doit mettre en œuvre des contrôles, notamment le chiffrement, pour protéger les informations non publiques détenues ou transmises par l'entité concernée, à la fois en transit sur des réseaux externes et au repos.

sns-encrypted-kms

Pour protéger les données au repos, assurez-vous que vos rubriques Amazon Simple Notification Service (Amazon SNS) nécessitent un chiffrement à l' AWS aide du Key Management Service AWS (KMS). Comme il peut y avoir des données sensibles au repos dans les messages publiés, activez le chiffrement au repos pour protéger ces données.
500.15 (a) (a) Dans le cadre de son programme de cybersécurité, en fonction de son évaluation des risques, chaque entité concernée doit mettre en œuvre des contrôles, notamment le chiffrement, pour protéger les informations non publiques détenues ou transmises par l'entité concernée, à la fois en transit sur des réseaux externes et au repos.

ec2-ebs-encryption-by-default

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données.
500.15 (a) (a) Dans le cadre de son programme de cybersécurité, en fonction de son évaluation des risques, chaque entité concernée doit mettre en œuvre des contrôles, notamment le chiffrement, pour protéger les informations non publiques détenues ou transmises par l'entité concernée, à la fois en transit sur des réseaux externes et au repos.

rds-snapshot-encrypted

Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données.
500.15 (a) (a) Dans le cadre de son programme de cybersécurité, en fonction de son évaluation des risques, chaque entité concernée doit mettre en œuvre des contrôles, notamment le chiffrement, pour protéger les informations non publiques détenues ou transmises par l'entité concernée, à la fois en transit sur des réseaux externes et au repos.

alb-http-drop-invalid-header-enabled

Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés pour ne pas prendre en compte les en-têtes http. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
500.15 (a) (a) Dans le cadre de son programme de cybersécurité, en fonction de son évaluation des risques, chaque entité concernée doit mettre en œuvre des contrôles, notamment le chiffrement, pour protéger les informations non publiques détenues ou transmises par l'entité concernée, à la fois en transit sur des réseaux externes et au repos.

elasticsearch-node-to-node-encryption-check

Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
500.15 (a) (a) Dans le cadre de son programme de cybersécurité, en fonction de son évaluation des risques, chaque entité concernée doit mettre en œuvre des contrôles, notamment le chiffrement, pour protéger les informations non publiques détenues ou transmises par l'entité concernée, à la fois en transit sur des réseaux externes et au repos.

elb-tls-https-listeners-only

Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
500.15 (a) (a) Dans le cadre de son programme de cybersécurité, en fonction de son évaluation des risques, chaque entité concernée doit mettre en œuvre des contrôles, notamment le chiffrement, pour protéger les informations non publiques détenues ou transmises par l'entité concernée, à la fois en transit sur des réseaux externes et au repos.

api-gw-ssl-enabled

Assurez-vous que les étapes de l'API REST Amazon API Gateway sont configurées avec des certificats SSL pour permettre aux systèmes backend d'authentifier que les demandes proviennent d'API Gateway.
500.15 (a) (a) Dans le cadre de son programme de cybersécurité, en fonction de son évaluation des risques, chaque entité concernée doit mettre en œuvre des contrôles, notamment le chiffrement, pour protéger les informations non publiques détenues ou transmises par l'entité concernée, à la fois en transit sur des réseaux externes et au repos.

dynamodb-table-encrypted-kms

Assurez-vous que le chiffrement est activé pour vos tables Amazon DynamoDB. Comme il peut y avoir des données sensibles au repos dans ces tables, activez le chiffrement au repos pour protéger ces données. Par défaut, les tables DynamoDB sont chiffrées à l'aide AWS d'une clé principale propre au client (CMK).
500.15 (a) (a) Dans le cadre de son programme de cybersécurité, en fonction de son évaluation des risques, chaque entité concernée doit mettre en œuvre des contrôles, notamment le chiffrement, pour protéger les informations non publiques détenues ou transmises par l'entité concernée, à la fois en transit sur des réseaux externes et au repos.

elbv2-acm-certificate-required

Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes.
500.15 (a) (a) Dans le cadre de son programme de cybersécurité, en fonction de son évaluation des risques, chaque entité concernée doit mettre en œuvre des contrôles, notamment le chiffrement, pour protéger les informations non publiques détenues ou transmises par l'entité concernée, à la fois en transit sur des réseaux externes et au repos.

redshift-cluster-kms-enabled

Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre cluster Amazon Redshift. Comme il peut y avoir des données sensibles au repos dans les clusters Redshift, activez le chiffrement au repos pour protéger ces données.
500.15 (a) (a) Dans le cadre de son programme de cybersécurité, en fonction de son évaluation des risques, chaque entité concernée doit mettre en œuvre des contrôles, notamment le chiffrement, pour protéger les informations non publiques détenues ou transmises par l'entité concernée, à la fois en transit sur des réseaux externes et au repos.

s3-default-encryption-kms

Assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans un compartiment Amazon S3, activez le chiffrement au repos pour protéger ces données.
500.15 (a) (a) Dans le cadre de son programme de cybersécurité, en fonction de son évaluation des risques, chaque entité concernée doit mettre en œuvre des contrôles, notamment le chiffrement, pour protéger les informations non publiques détenues ou transmises par l'entité concernée, à la fois en transit sur des réseaux externes et au repos.

secretsmanager-using-cmk

Pour protéger les données au repos, assurez-vous que le chiffrement avec le AWS Key Management Service (AWS KMS) est activé pour les AWS secrets de Secrets Manager. Comme il peut y avoir des données sensibles au repos dans les secrets de Secrets Manager, activez le chiffrement au repos pour protéger ces données.
500.15 (a) (a) Dans le cadre de son programme de cybersécurité, en fonction de son évaluation des risques, chaque entité concernée doit mettre en œuvre des contrôles, notamment le chiffrement, pour protéger les informations non publiques détenues ou transmises par l'entité concernée, à la fois en transit sur des réseaux externes et au repos.

backup-recovery-point-encrypted

Assurez-vous que le chiffrement est activé pour vos points AWS de restauration Backup. Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données.
500.15 (a) (a) Dans le cadre de son programme de cybersécurité, en fonction de son évaluation des risques, chaque entité concernée doit mettre en œuvre des contrôles, notamment le chiffrement, pour protéger les informations non publiques détenues ou transmises par l'entité concernée, à la fois en transit sur des réseaux externes et au repos.

codebuild-project-artifact-encryption

Pour protéger les données sensibles au repos, assurez-vous que le chiffrement est activé pour vos AWS CodeBuild artefacts.
500.15 (a) (a) Dans le cadre de son programme de cybersécurité, en fonction de son évaluation des risques, chaque entité concernée doit mettre en œuvre des contrôles, notamment le chiffrement, pour protéger les informations non publiques détenues ou transmises par l'entité concernée, à la fois en transit sur des réseaux externes et au repos.

kinesis-stream-encrypted

Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos flux Amazon Kinesis Streams.
500,16 (a) Dans le cadre de son programme de cybersécurité, chaque entité concernée doit établir un plan écrit de réponse aux incidents conçu pour répondre rapidement à tout événement de cybersécurité affectant matériellement la confidentialité, l'intégrité ou la disponibilité des systèmes d'information de l'entité concernée ou le fonctionnement continue de tout aspect de l'activité ou des opérations de l'entité concernée, et pour y remédier. response-plan-exists-maintained (vérification du processus) Assurez-vous que des plans de réponse aux incidents sont établis, maintenus et distribués au personnel responsable.

Modèle

Le modèle est disponible sur GitHub : Operational Best Practices for NYDFS 23.