AWS Liste de contrôle des meilleures pratiques de la SRA - AWS Conseils prescriptifs
AWS OrganizationsAWS CloudTrailAWS Security Hub CSPMAWS ConfigAmazon GuardDutyIAMAnalyseur d’accès IAMAmazon DetectiveAWS Firewall ManagerAmazon InspectorAmazon MacieAmazon Security LakeAWS WAFAWS Shield AdvancedAWS Réponse aux incidents de sécuritéAWS Audit Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Liste de contrôle des meilleures pratiques de la SRA

Influencez le futur de l'architecture de référence de AWS sécurité (AWS SRA) en répondant à une courte enquête.

Cette section résume les meilleures pratiques AWS SRA détaillées dans ce guide dans une liste de contrôle que vous pouvez suivre lors de la création de votre version de l'architecture de sécurité. AWS Utilisez cette liste comme point de référence et non pour remplacer la révision du guide. La liste de contrôle est groupée par Service AWS. Si vous souhaitez valider par programmation votre AWS environnement existant par rapport à la liste de contrôle des meilleures pratiques AWS SRA, vous pouvez utiliser SRA Verify.

SRA Verify est un outil d'évaluation de la sécurité qui vous aide à évaluer l'alignement de votre organisation sur le AWS SRA dans plusieurs Comptes AWS régions. Il correspond directement aux recommandations de la AWS SRA en fournissant des contrôles automatisés qui valident votre mise en œuvre par rapport aux directives de la AWS SRA. L'outil vous aide à vérifier que vos services de sécurité sont correctement configurés conformément à l'architecture de référence. Il fournit des résultats détaillés et des mesures correctives réalisables pour garantir que votre AWS environnement respecte les meilleures pratiques en matière de sécurité. SRA Verify est conçu pour être exécuté AWS CodeBuild dans le compte d'audit de l'organisation (Security Tooling). Vous pouvez également l'exécuter localement ou l'étendre à l'aide de la bibliothèque SRA Verify.

Note

SRA Verify contient des contrôles pour plusieurs services, mais il se peut qu'il n'en contienne pas un pour toutes les considérations relatives au AWS SRA. Pour plus d'informations, consultez les guides de la bibliothèque AWS SRA.

AWS Organizations

  • AWS Organizations est activé avec toutes les fonctionnalités.

  • Les politiques de contrôle des services (SCPs) sont utilisées pour définir des directives de contrôle d'accès pour les responsables IAM.

  • Les politiques de contrôle des ressources (RCPs) sont utilisées pour définir des directives de contrôle d'accès pour les AWS ressources.

  • Les politiques déclaratives sont utilisées pour déclarer et appliquer de manière centralisée la configuration souhaitée pour une donnée Service AWS à grande échelle au sein de votre organisation.

  • Trois comptes de base OUs sont créés (sécurité, infrastructure et charge de travail) pour regrouper les comptes des membres fournissant des services de base.

  • Le compte Security Tooling est créé sous l'unité d'organisation de sécurité. Ce compte fournit une gestion centralisée des services de AWS sécurité et d'autres outils de sécurité tiers.

  • Le compte Log Archive est créé sous l'unité d'organisation de sécurité. Ce compte fournit un référentiel central de journaux Services AWS et de journaux d'applications étroitement contrôlé.

  • Le compte réseau est créé sous l'unité d'organisation d'infrastructure. Ce compte gère la passerelle entre votre application et Internet au sens large. Il isole les services réseau, la configuration et le fonctionnement des charges de travail des applications individuelles, de la sécurité et des autres infrastructures.

  • Le compte Shared Service est créé sous l'unité d'organisation de l'infrastructure. Ce compte prend en charge les services utilisés par de nombreuses applications et équipes pour obtenir leurs résultats.

  • Le compte d'application est créé sous l'unité d'organisation Workloads. Ce compte héberge l'infrastructure et les services principaux permettant d'exécuter et de gérer une application d'entreprise. Ce guide fournit une représentation, mais dans le monde réel, il y aura plusieurs comptes OUs et comptes membres séparés en fonction des applications, des environnements de développement et d'autres considérations de sécurité.

  • Des informations de contact alternatives pour la facturation, les opérations et la sécurité de tous les comptes membres sont configurées.

AWS CloudTrail

  • Un journal d'organisation est configuré pour permettre la diffusion des événements de CloudTrail gestion dans le compte de gestion et dans tous les comptes membres d'une AWS organisation.

  • Le parcours de l'organisation est configuré comme un parcours multirégional.

  • Le journal de l'organisation est configuré pour capturer les événements provenant de ressources globales.

  • Des pistes supplémentaires permettant de capturer des événements de données spécifiques sont configurées selon les besoins pour surveiller les activités liées aux AWS ressources sensibles.

  • Le compte Security Tooling est défini en tant qu'administrateur délégué du journal de l'organisation.

  • Le journal de l'organisation est configuré pour être automatiquement activé pour tous les nouveaux comptes membres.

  • Le journal de l'organisation est configuré pour publier les journaux dans un compartiment S3 centralisé hébergé dans le compte Log Archive.

  • La validation des fichiers journaux est activée dans le journal de l'organisation afin de vérifier l'intégrité des fichiers journaux.

  • Le parcours d'organisation est intégré aux CloudWatch journaux pour la conservation des journaux.

  • Le suivi de l'organisation est chiffré à l'aide d'une clé gérée par le client.

  • Le compartiment S3 central utilisé pour le référentiel de journaux dans le compte Log Archive est chiffré à l'aide d'une clé gérée par le client.

  • Le compartiment S3 central utilisé pour le référentiel de journaux dans le compte Log Archive est configuré avec S3 Object Lock pour garantir l'immuabilité.

  • La gestion des versions est activée pour le compartiment S3 central utilisé pour le référentiel de journaux dans le compte Log Archive.

  • Le compartiment S3 central utilisé pour le référentiel de journaux dans le compte Log Archive possède une politique de ressources définie qui limite le téléchargement d'objets uniquement par suivi de l'organisation via la ressource Amazon Resource Name (ARN).

AWS Security Hub CSPM

  • Security Hub CSPM est activé pour tous les comptes membres et le compte de gestion.

  • AWS Config est activé pour tous les comptes membres en tant que condition préalable au Security Hub CSPM.

  • Le compte Security Tooling est défini en tant qu'administrateur délégué de Security Hub CSPM.

  • Amazon GuardDuty et Amazon Detective disposent du même compte d'administrateur délégué que Security Hub CSPM pour une intégration fluide des services.

  • La configuration centrale est utilisée pour configurer et gérer Security Hub CSPM sur plusieurs Comptes AWS et. Régions AWS

  • Tous les comptes UO et membres sont désignés comme étant gérés de manière centralisée par l'administrateur délégué de Security Hub CSPM.

  • Security Hub CSPM est automatiquement activé pour tous les nouveaux comptes membres.

  • Security Hub CSPM est automatiquement activé pour la configuration des nouvelles normes.

  • Les résultats du Security Hub CSPM provenant de toutes les régions sont regroupés dans une seule région d'origine.

  • Les résultats du Security Hub CSPM provenant de tous les comptes membres sont agrégés dans le compte Security Tooling.

  • La norme AWS Foundational Best Practices (FSBP) de Security Hub CSPM est activée pour tous les comptes membres.

  • La norme CIS AWS Foundation Benchmark dans Security Hub CSPM est activée pour tous les comptes membres.

  • Les autres normes CSPM du Security Hub sont activées le cas échéant.

  • Une règle d'automatisation CSPM du Security Hub est utilisée pour enrichir les résultats en fonction du contexte des ressources.

  • La fonctionnalité de réponse automatique et de correction du Security Hub CSPM est utilisée pour créer des EventBridge règles personnalisées afin de prendre des mesures automatiques en fonction de résultats spécifiques.

AWS Config

  • L' AWS Config enregistreur est activé pour tous les comptes des membres et pour le compte de gestion.

  • L' AWS Config enregistreur est activé pour toutes les régions.

  • Le compartiment S3 du canal de AWS Config distribution est centralisé dans le compte Log Archive.

  • Le compte d'administrateur AWS Config délégué est défini sur le compte Security Tooling.

  • AWS Config possède un agrégateur d'organisations configuré. L'agrégateur inclut toutes les régions.

  • AWS Config les packs de conformité sont déployés uniformément sur tous les comptes membres à partir du compte d'administrateur délégué.

  • AWS Config les résultats des règles sont automatiquement envoyés au Security Hub CSPM.

Amazon GuardDuty

  • GuardDuty le détecteur est activé pour tous les comptes membres et le compte de gestion.

  • GuardDuty le détecteur est activé pour toutes les régions.

  • GuardDuty le détecteur est automatiquement activé pour tous les nouveaux comptes de membres.

  • GuardDuty l'administration déléguée est définie sur le compte Security Tooling.

  • GuardDuty les sources de données de base telles que les événements CloudTrail de gestion, les journaux de flux VPC et les journaux de requêtes DNS de Route 53 Resolver sont activées.

  • GuardDuty La protection S3 est activée.

  • GuardDuty La protection contre les programmes malveillants pour les volumes EBS est activée.

  • GuardDuty La protection contre les programmes malveillants pour S3 est activée.

  • GuardDuty La protection RDS est activée.

  • GuardDuty La protection Lambda est activée.

  • GuardDuty La protection EKS est activée.

  • GuardDuty La surveillance du temps d'exécution EKS est activée.

  • GuardDuty La détection étendue des menaces est activée.

  • GuardDuty les résultats sont exportés vers un compartiment S3 central du compte Log Archive pour être conservés.

IAM

  • Les utilisateurs IAM ne sont pas utilisés.

  • La gestion centralisée de l'accès root pour les comptes des membres est mise en œuvre.

  • La tâche centralisée de l'utilisateur root privilégié pour le compte de gestion est exécutée par l'administrateur délégué.

  • La gestion centralisée de l'accès root est déléguée au compte Security Tooling.

  • Toutes les informations d'identification root du compte membre sont supprimées.

  • Toutes les politiques relatives aux Compte AWS mots de passe des membres et des administrateurs sont définies conformément aux normes de sécurité de l'organisation. 

  • Le conseiller d'accès IAM est utilisé pour examiner les dernières informations utilisées concernant les groupes, les utilisateurs, les rôles et les politiques IAM.

  • Les limites d'autorisation sont utilisées pour limiter le maximum d'autorisations possibles pour les rôles IAM.

Analyseur d’accès IAM

  • L'analyseur d'accès IAM est activé pour tous les comptes membres et le compte de gestion.

  • L'administrateur délégué d'IAM Access Analyzer est défini sur le compte Security Tooling.

  • L'analyseur d'accès externe IAM Access Analyzer est configuré avec la zone de confiance de l'organisation dans chaque région.

  • L'analyseur d'accès externe IAM Access Analyzer est configuré avec la zone de confiance du compte dans chaque région.

  • L'analyseur d'accès interne d'IAM Access Analyzer est configuré avec la zone de confiance de l'organisation dans chaque région.

  • L'analyseur d'accès interne d'IAM Access Analyzer est configuré avec la zone de confiance du compte dans chaque région.

  • L'analyseur d'accès non utilisé d'IAM Access Analyzer pour le compte courant est créé.

  • L'analyseur d'accès non utilisé d'IAM Access Analyzer pour l'organisation actuelle est créé.

Amazon Detective

  • Detective est activé pour tous les comptes des membres.

  • Detective est automatiquement activé pour tous les nouveaux comptes de membres.

  • Detective est activé pour toutes les régions.

  • L'administrateur délégué Detective est configuré sur le compte Security Tooling.

  • L'administrateur délégué CSPM de Detective GuardDuty, and Security Hub est configuré sur le même compte Security Tooling.

  • Detective est intégré à Security Lake pour le stockage et l'analyse des journaux bruts.

  • Detective est intégré GuardDuty pour l'ingestion des résultats.

  • Detective est en train d'ingérer les journaux d'audit d'Amazon EKS à des fins d'analyse.

  • Detective est en train d'ingérer les journaux CSPM de Security Hub à des fins d'analyse.

AWS Firewall Manager

  • Les politiques de sécurité de Firewall Manager sont définies.

  • L'administrateur délégué de Firewall Manager est défini sur le compte Security Tooling.

  • AWS Config est activé comme condition préalable.

  • Plusieurs administrateurs de Firewall Manager sont définis avec une portée limitée par unité d'organisation, compte et région.

  • Une politique de AWS WAF sécurité Firewall Manager est définie.

  • Une politique de journalisation AWS WAF centralisée de Firewall Manager est définie.

  • Une politique de sécurité Firewall Manager Shield Advanced est définie.

  • Une politique de sécurité du groupe de sécurité Firewall Manager est définie.

Amazon Inspector

  • Amazon Inspector est activé pour tous les comptes membres.

  • Amazon Inspector est automatiquement activé pour tout nouveau compte membre.

  • L'administrateur délégué Amazon Inspector est défini sur le compte Security Tooling.

  • L'analyse des EC2 vulnérabilités d'Amazon Inspector est activée.

  • L'analyse des vulnérabilités des images ECR par Amazon Inspector est activée.

  • La fonction Amazon Inspector Lambda et l'analyse des vulnérabilités des couches sont activées.

  • La numérisation du code Lambda par Amazon Inspector est activée.

  • L'analyse de sécurité du code Amazon Inspector est activée.

Amazon Macie

  • Macie est activé pour les comptes de membres concernés.

  • Macie est automatiquement activé pour les nouveaux comptes de membres applicables.

  • L'administrateur délégué Macie est configuré sur le compte Security Tooling.

  • Les résultats de Macie sont exportés vers un compartiment S3 central dans le compte Log Archive.

  • Les compartiments S3 qui stockent les résultats de Macie sont chiffrés à l'aide d'une clé gérée par le client.

  • La politique et la politique de classification de Macie sont publiées sur Security Hub CSPM.

Amazon Security Lake

  • La configuration de l'organisation Security Lake est activée.

  • L'administrateur délégué de Security Lake est défini sur le compte Security Tooling.

  • La configuration de l'organisation Security Lake est activée pour les nouveaux comptes membres.

  • Le compte Security Tooling est configuré en tant qu'abonné d'accès aux données pour effectuer une analyse des journaux.

  • Le compte Security Tooling est configuré en tant qu'abonné aux requêtes de données pour effectuer une analyse des journaux.

  • Une source CloudTrail de journal de gestion est activée pour Security Lake dans tous les comptes de membres actifs ou dans certains comptes de membres actifs.

  • Une source de journal de flux VPC est activée pour Security Lake dans tous les comptes de membres actifs ou dans certains comptes membres actifs.

  • Une source de journal Route 53 est activée pour Security Lake dans tous les comptes de membres actifs ou dans certains comptes de membres actifs.

  • CloudTrail un événement de données pour une source de journal S3 est activé pour Security Lake dans tous les comptes de membres actifs ou dans certains comptes membres actifs.

  • Une source de journal d'exécution Lambda est activée pour Security Lake dans tous les comptes de membres actifs ou dans certains comptes de membres actifs.

  • Une source de journal d'audit Amazon EKS est activée pour Security Lake dans tous les comptes de membres actifs ou dans certains comptes de membres actifs.

  • Une source de journal des résultats de Security Hub est activée pour Security Lake dans tous les comptes de membres actifs ou dans certains comptes de membres actifs.

  • Une source de AWS WAF journal est activée pour Security Lake dans tous les comptes de membres actifs ou dans certains comptes de membres actifs.

  • Les files d'attente SQS de Security Lake dans le compte administrateur délégué sont chiffrées à l'aide d'une clé gérée par le client.

  • La file d'attente de lettres mortes SQS de Security Lake dans le compte administrateur délégué est cryptée à l'aide d'une clé gérée par le client.

  • Le compartiment S3 de Security Lake est chiffré à l'aide d'une clé gérée par le client.

  • Le bucket S3 de Security Lake est doté d'une politique de ressources qui restreint l'accès direct uniquement par Security Lake.

AWS WAF

  • Toutes les CloudFront distributions sont associées à AWS WAF.

  • Tous les REST d'Amazon API Gateway APIs sont associés AWS WAF.

  • Tous les équilibreurs de charge d'application sont associés AWS WAFà.

  • Tous les AWS AppSync GraphQL APIs sont associés à. AWS WAF

  • Tous les groupes d'utilisateurs Amazon Cognito sont associés à. AWS WAF

  • Tous les AWS App Runner services sont associés à AWS WAF.

  • Toutes les Accès vérifié par AWS instances sont associées à AWS WAF.

  • Toutes les AWS Amplify applications sont associées à AWS WAF.

  • AWS WAF la journalisation est activée.

  • AWS WAF les journaux sont centralisés dans un compartiment S3 du compte Log Archive.

AWS Shield Advanced

  • L'abonnement Shield Advanced est activé et configuré pour être renouvelé automatiquement pour tous les comptes d'applications disposant de ressources destinées au public.

  • Shield Advanced est configuré pour toutes les CloudFront distributions.

  • Shield Advanced est configuré pour tous les équilibreurs de charge d'application.

  • Shield Advanced est configuré pour tous les équilibreurs de charge réseau.

  • Shield Advanced est configuré pour toutes les zones hébergées Route 53.

  • Shield Advanced est configuré pour toutes les adresses IP Elastic.

  • Shield Advanced est configuré pour tous les accélérateurs globaux.

  • CloudWatch les alarmes sont CloudFront configurées pour les ressources Route 53 protégées par Shield Advanced.

  • L'accès à la Shield Response Team (SRT) est configuré.

  • L'engagement proactif de Shield Advanced est activé.

  • Les contacts d'engagement proactif de Shield Advanced sont configurés.

  • Une AWS WAF règle personnalisée est configurée pour les ressources protégées de Shield Advanced.

  • L'atténuation automatique de la couche DDo S de l'application est activée pour les ressources protégées de Shield Advanced.

AWS Réponse aux incidents de sécurité

  • AWS La réponse aux incidents de sécurité est activée pour l'ensemble de AWS l'organisation.

  • L'administrateur délégué pour la réponse aux incidents de AWS sécurité est défini sur le compte Security Tooling.

  • Le flux de travail proactif de réponse et de triage des alertes est activé.

  • AWS Les actions de confinement de l'équipe de réponse aux incidents clients (CIRT) sont autorisées.

AWS Audit Manager

  • Audit Manager est activé pour tous les comptes membres.

  • Audit Manager est automatiquement activé pour les nouveaux comptes membres.

  • L'administrateur délégué d'Audit Manager est défini sur le compte Security Tooling.

  • AWS Config est activé comme condition préalable à Audit Manager.

  • Une clé gérée par le client est utilisée pour les données stockées dans Audit Manager.

  • La destination du rapport d'évaluation par défaut est configurée.