Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Amazon EC2 Auto Scaling
Ces contrôles sont liés aux ressources Amazon EC2 Auto Scaling.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour plus d’informations, consultez Disponibilité des contrôles par région.
[AutoScaling.1] Les groupes Auto Scaling associés à un équilibreur de charge doivent utiliser les contrôles de santé ELB
Exigences connexes : PCI DSS v3.2.1/2.2, nIST.800-53.R5 CA-7, nIST.800-53.R5 CP-2 (2), nIST.800-53.R5 SI-2
Catégorie : Identifier - Inventaire
Gravité : Faible
Type de ressource : AWS::AutoScaling::AutoScalingGroup
Règle AWS Config : autoscaling-group-elb-healthcheck-required
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un groupe Amazon EC2 Auto Scaling associé à un équilibreur de charge utilise les tests de santé Elastic Load Balancing (ELB). Le contrôle échoue si le groupe Auto Scaling n'utilise pas les bilans de santé ELB.
Les bilans de santé ELB permettent de garantir qu'un groupe Auto Scaling peut déterminer l'état de santé d'une instance sur la base de tests supplémentaires fournis par l'équilibreur de charge. L'utilisation des contrôles de santé d'Elastic Load Balancing permet également de garantir la disponibilité des applications qui utilisent les groupes EC2 Auto Scaling.
Correction
Pour ajouter des tests de santé Elastic Load Balancing, consultez la section Ajouter des contrôles de santé Elastic Load Balancing dans le guide de l'utilisateur Amazon EC2 Auto Scaling.
[AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité
Exigences connexes : NIST.800-53.R5 CP-10, NIST.800-53.R5 CP-2 (2), NIST.800-53.R5 CP-6 (2), NIST.800-53.R5 SC-36, NIST.800-53.R5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
Catégorie : Restauration > Résilience > Haute disponibilité
Gravité : Moyenne
Type de ressource : AWS::AutoScaling::AutoScalingGroup
Règle AWS Config : autoscaling-multiple-az
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
|
|
Nombre minimum de zones de disponibilité |
Enum |
|
|
Ce contrôle vérifie si un groupe Amazon EC2 Auto Scaling couvre au moins le nombre spécifié de zones de disponibilité (AZ). Le contrôle échoue si un groupe Auto Scaling ne couvre pas au moins le nombre de AZ spécifié. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour le nombre minimum de zones de disponibilité, Security Hub utilise une valeur par défaut de deux zones de disponibilité.
Un groupe Auto Scaling qui ne couvre pas plusieurs zones de zone ne peut pas lancer d'instances dans une autre zone de zone pour compenser l'indisponibilité de la zone de disponibilité unique configurée. Cependant, un groupe Auto Scaling avec une seule zone de disponibilité peut être préférable dans certains cas d'utilisation, tels que les tâches par lots ou lorsque les coûts de transfert inter-AZ doivent être réduits au minimum. Dans ce cas, vous pouvez désactiver ce contrôle ou supprimer ses résultats.
Correction
Pour ajouter des AZ à un groupe Auto Scaling existant, consultez la section Ajouter et supprimer des zones de disponibilité dans le guide de l'utilisateur Amazon EC2 Auto Scaling.
[AutoScaling.3] Les configurations de lancement du groupe Auto Scaling doivent configurer les instances EC2 pour qu'elles nécessitent le service de métadonnées d'instance version 2 (IMDSv2)
Exigences connexes : nIST.800-53.R5 AC-3, nIST.800-53.R5 AC-3 (15), nIST.800-53.R5 AC-3 (7), nIST.800-53.R5 AC-6, nIST.800-53.R5 CA-9 (1), nIST.800-53.R5 CM-2
Catégorie : Protéger - Configuration réseau sécurisée
Gravité : Élevée
Type de ressource : AWS::AutoScaling::LaunchConfiguration
Règle AWS Config : autoscaling-launchconfig-requires-imdsv2
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si IMDSv2 est activé sur toutes les instances lancées par les groupes Amazon EC2 Auto Scaling. Le contrôle échoue si la version du service de métadonnées d'instance (IMDS) n'est pas incluse dans la configuration de lancement ou si IMDSv1 et IMDSv2 sont activés.
IMDS fournit des données sur votre instance que vous pouvez utiliser pour configurer ou gérer l'instance en cours d'exécution.
La version 2 de l'IMDS ajoute de nouvelles protections qui n'étaient pas disponibles dans IMDSv1 pour mieux protéger vos instances EC2.
Correction
Un groupe Auto Scaling est associé à une configuration de lancement à la fois. Vous ne pouvez pas modifier une configuration de lancement après l'avoir créée. Pour modifier la configuration de lancement d'un groupe Auto Scaling, utilisez une configuration de lancement existante comme base pour une nouvelle configuration de lancement avec IMDSv2 activé. Pour plus d'informations, consultez Configurer les options de métadonnées d'instance pour les nouvelles instances dans le guide de l'utilisateur Amazon EC2.
[AutoScaling.4] La configuration de lancement du groupe Auto Scaling ne doit pas comporter de limite de sauts de réponse aux métadonnées supérieure à 1
Important
Security Hub a retiré ce contrôle en avril 2024. Pour plus d’informations, consultez Journal des modifications pour les contrôles du Security Hub.
Exigences connexes : NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)
Catégorie : Protéger - Configuration réseau sécurisée
Gravité : Élevée
Type de ressource : AWS::AutoScaling::LaunchConfiguration
Règle AWS Config : autoscaling-launch-config-hop-limit
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie le nombre de sauts réseau qu'un jeton de métadonnées peut effectuer. Le contrôle échoue si la limite de sauts de réponse des métadonnées est supérieure à1.
Le service de métadonnées d'instance (IMDS) fournit des informations de métadonnées sur une instance Amazon EC2 et est utile pour la configuration des applications. Le fait de restreindre la PUT réponse HTTP du service de métadonnées à l'instance EC2 uniquement protège l'IMDS contre toute utilisation non autorisée.
Le champ Time To Live (TTL) du paquet IP est réduit d'une unité à chaque saut. Cette réduction peut être utilisée pour garantir que le paquet ne voyage pas en dehors d'EC2. IMDSv2 protège les instances EC2 qui peuvent avoir été mal configurées en tant que routeurs ouverts, pare-feux de couche 3, VPN, tunnels ou périphériques NAT, empêchant ainsi les utilisateurs non autorisés de récupérer des métadonnées. Avec IMDSv2, la PUT réponse qui contient le jeton secret ne peut pas voyager en dehors de l'instance car la limite de sauts de réponse aux métadonnées par défaut est définie sur. 1 Toutefois, si cette valeur est supérieure à1, le jeton peut quitter l'instance EC2.
Correction
Pour modifier la limite de sauts de réponse aux métadonnées pour une configuration de lancement existante, consultez la section Modifier les options de métadonnées d'instance pour les instances existantes dans le guide de l'utilisateur Amazon EC2.
[Autoscaling.5] Les instances Amazon EC2 lancées à l'aide des configurations de lancement de groupe Auto Scaling ne doivent pas avoir d'adresses IP publiques
Exigences connexes : NIST.800-53.R5 AC-21, NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 AC-6, NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (20), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9)
Catégorie : Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
Gravité : Élevée
Type de ressource : AWS::AutoScaling::LaunchConfiguration
Règle AWS Config : autoscaling-launch-config-public-ip-disabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si la configuration de lancement associée à un groupe Auto Scaling attribue une adresse IP publique aux instances du groupe. Le contrôle échoue si la configuration de lancement associée attribue une adresse IP publique.
Les instances Amazon EC2 dans une configuration de lancement de groupe Auto Scaling ne doivent pas être associées à une adresse IP publique, sauf dans des cas limités. Les instances Amazon EC2 ne doivent être accessibles que derrière un équilibreur de charge au lieu d'être directement exposées à Internet.
Correction
Un groupe Auto Scaling est associé à une configuration de lancement à la fois. Vous ne pouvez pas modifier une configuration de lancement après l'avoir créée. Pour modifier la configuration du lancement d'un groupe Auto Scaling, utilisez une configuration du lancement existante comme base de la nouvelle configuration du lancement. Mettez ensuite à jour le groupe Auto Scaling de manière à utiliser la nouvelle configuration du lancement. Pour step-by-step obtenir des instructions, consultez Modifier la configuration de lancement d'un groupe Auto Scaling dans le guide de l'utilisateur Amazon EC2 Auto Scaling. Lors de la création de la nouvelle configuration de lancement, sous Configuration supplémentaire, pour Détails avancés, type d'adresse IP, choisissez Ne pas attribuer d'adresse IP publique à aucune instance.
Après avoir modifié la configuration de lancement, Auto Scaling lance de nouvelles instances avec les nouvelles options de configuration. Les instances existantes ne sont pas affectées. Pour mettre à jour une instance existante, nous vous recommandons d'actualiser votre instance ou d'autoriser le dimensionnement automatique afin de remplacer progressivement les anciennes instances par des instances plus récentes en fonction de vos politiques de résiliation. Pour plus d'informations sur la mise à jour des instances Auto Scaling, consultez Update Auto Scaling instances dans le guide de l'utilisateur Amazon EC2 Auto Scaling.
[AutoScaling.6] Les groupes Auto Scaling doivent utiliser plusieurs types d'instances dans plusieurs zones de disponibilité
Exigences connexes : NIST.800-53.R5 CP-10, NIST.800-53.R5 CP-2 (2), NIST.800-53.R5 CP-6 (2), NIST.800-53.R5 SC-36, NIST.800-53.R5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
Catégorie : Restauration > Résilience > Haute disponibilité
Gravité : Moyenne
Type de ressource : AWS::AutoScaling::AutoScalingGroup
Règle AWS Config : autoscaling-multiple-instance-types
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un groupe Amazon EC2 Auto Scaling utilise plusieurs types d'instances. Le contrôle échoue si le groupe Auto Scaling n'a qu'un seul type d'instance défini.
Vous pouvez améliorer la disponibilité en déployant votre application entre plusieurs types d'instances s'exécutant dans plusieurs zones de disponibilité. Security Hub recommande d'utiliser plusieurs types d'instances afin que le groupe Auto Scaling puisse lancer un autre type d'instance si la capacité d'instance est insuffisante dans les zones de disponibilité que vous avez choisies.
Correction
Pour créer un groupe Auto Scaling avec plusieurs types d'instances, consultez la section Groupes Auto Scaling avec plusieurs types d'instances et options d'achat dans le guide de l'utilisateur Amazon EC2 Auto Scaling.
[AutoScaling.9] Les groupes Amazon EC2 Auto Scaling doivent utiliser les modèles de lancement Amazon EC2
Exigences connexes : NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)
Catégorie : Identifier > Configuration des ressources
Gravité : Moyenne
Type de ressource : AWS::AutoScaling::AutoScalingGroup
Règle AWS Config : autoscaling-launch-template
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un groupe Amazon EC2 Auto Scaling est créé à partir d'un modèle de lancement EC2. Ce contrôle échoue si aucun groupe Amazon EC2 Auto Scaling n'est créé avec un modèle de lancement ou si aucun modèle de lancement n'est spécifié dans une politique d'instances mixtes.
Un groupe EC2 Auto Scaling peut être créé à partir d'un modèle de lancement EC2 ou d'une configuration de lancement. Cependant, l'utilisation d'un modèle de lancement pour créer un groupe Auto Scaling garantit que vous avez accès aux dernières fonctionnalités et améliorations.
Correction
Pour créer un groupe Auto Scaling avec un modèle de lancement EC2, consultez Create an Auto Scaling group using a launch template dans le manuel Amazon EC2 Auto Scaling User Guide. Pour plus d'informations sur le remplacement d'une configuration de lancement par un modèle de lancement, consultez la section Remplacer une configuration de lancement par un modèle de lancement dans le guide de l'utilisateur Amazon EC2.
[AutoScaling.10] Les groupes EC2 Auto Scaling doivent être balisés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::AutoScaling::AutoScalingGroup
AWS Config règle : tagged-autoscaling-autoscalinggroup (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences | Aucune valeur par défaut |
Ce contrôle vérifie si un groupe Amazon EC2 Auto Scaling possède des balises avec les clés spécifiques définies dans le paramètre. requiredTagKeys Le contrôle échoue si le groupe Auto Scaling ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le groupe Auto Scaling n'est associé à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM.
Note
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à un groupe Auto Scaling, consultez la section Groupes et instances Tag Auto Scaling dans le guide de l'utilisateur Amazon EC2 Auto Scaling.
