Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
CloudFront Contrôles Amazon
Ces contrôles sont liés aux CloudFront ressources.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour plus d’informations, consultez Disponibilité des contrôles par région.
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
Exigences connexes : NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (16)
Catégorie : Protéger > Gestion des accès sécurisés > Ressources non accessibles au public
Gravité : Élevée
Type de ressource : AWS::CloudFront::Distribution
Règle AWS Config : cloudfront-default-root-object-configured
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si une CloudFront distribution Amazon est configurée pour renvoyer un objet spécifique qui est l'objet racine par défaut. Le contrôle échoue si aucun objet racine par défaut n'est configuré pour la CloudFront distribution.
Un utilisateur peut parfois demander l'URL racine de la distribution au lieu d'un objet de la distribution. Dans ce cas, la spécification d'un objet racine par défaut peut vous aider à éviter d'exposer le contenu de votre distribution web.
Correction
Pour configurer un objet racine par défaut pour une CloudFront distribution, consultez Comment spécifier un objet racine par défaut dans le manuel Amazon CloudFront Developer Guide.
[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage en transit
Exigences connexes : NIST.800-53.R5 AC-17 (2), NIST.800-53.R5 AC-4, NIST.800-53.R5 IA-5 (1), NIST.800-53.R5 SC-12 (3), NIST.800-53.R5 SC-13, NIST.800-53.R5 SC-23 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-8, NIST.800-53.R5 SC-8 (1), NIST.800-53.R5 SC-8 (2), NIST.800-53.R5 SI-7 (6)
Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit
Gravité : Moyenne
Type de ressource : AWS::CloudFront::Distribution
Règle AWS Config : cloudfront-viewer-policy-https
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si une CloudFront distribution Amazon exige que les utilisateurs utilisent directement le protocole HTTPS ou si elle utilise la redirection. Le contrôle échoue s'il ViewerProtocolPolicy est défini sur « allow-all pour » defaultCacheBehavior ou « pour cacheBehaviors ».
Le protocole HTTPS (TLS) peut être utilisé pour empêcher les attaquants potentiels d'utiliser person-in-the-middle des attaques similaires pour espionner ou manipuler le trafic réseau. Seules les connexions chiffrées via HTTPS (TLS) doivent être autorisées. Le chiffrement des données en transit peut affecter les performances. Vous devez tester votre application avec cette fonctionnalité pour comprendre le profil de performance et l'impact du protocole TLS.
Correction
Pour chiffrer une CloudFront distribution en transit, consultez la section Exiger le protocole HTTPS pour la communication entre les utilisateurs et CloudFront le manuel Amazon CloudFront Developer Guide.
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
Exigences connexes : NIST.800-53.R5 CP-10, NIST.800-53.R5 SC-36, NIST.800-53.R5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
Catégorie : Restauration > Résilience > Haute disponibilité
Gravité : Faible
Type de ressource : AWS::CloudFront::Distribution
Règle AWS Config : cloudfront-origin-failover-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si une CloudFront distribution Amazon est configurée avec un groupe d'origine comportant au moins deux origines.
CloudFront le basculement d'origine peut augmenter la disponibilité. Le basculement d'origine redirige automatiquement le trafic vers une origine secondaire si l'origine principale n'est pas disponible ou s'il renvoie des codes d'état de réponse HTTP spécifiques.
Correction
Pour configurer le basculement d'origine pour une CloudFront distribution, consultez la section Création d'un groupe d'origine dans le manuel Amazon CloudFront Developer Guide.
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
Exigences connexes : NIST.800-53.R5 AC-2 (4), NIST.800-53.R5 AC-4 (26), NIST.800-53.R5 AC-6 (9), NIST.800-53.R5 AU-10, NIST.800-53.R5 AU-12, NIST.800-53.R5 AU-3, NIST.800-53.R5 AU-6 (3), NIST.800-53.R5 AU-6 (4), NIST.800-53.R5 CA-7, NIST.800-53.R5 SC-7 (9), NIST.800-53.R5 SI-3 (8), NIST.800-53.R5 SI-4 (20), NIST.800-53.R5 SI-7 (8)
Catégorie : Identifier - Journalisation
Gravité : Moyenne
Type de ressource : AWS::CloudFront::Distribution
Règle AWS Config : cloudfront-accesslogs-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si la journalisation des accès au serveur est activée sur les CloudFront distributions. Le contrôle échoue si la journalisation des accès n'est pas activée pour une distribution.
CloudFront les journaux d'accès fournissent des informations détaillées sur chaque demande d'utilisateur CloudFront reçue. Chaque journal contient des informations telles que la date et l'heure de réception de la demande, l'adresse IP de l'utilisateur qui a fait la demande, la source de la demande et le numéro de port de la demande formulée par l'utilisateur.
Ces journaux sont utiles pour des applications telles que les audits de sécurité et d'accès et les enquêtes judiciaires. Pour obtenir des conseils supplémentaires sur la façon d'analyser les journaux d'accès, consultez la section Interroger CloudFront les journaux Amazon dans le guide de l'utilisateur d'Amazon Athena.
Correction
Pour configurer la journalisation des accès pour une CloudFront distribution, consultez la section Configuration et utilisation de journaux standard (journaux d'accès) dans le manuel Amazon CloudFront Developer Guide.
[CloudFront.6] WAF doit être activé sur les CloudFront distributions
Exigences connexes : NIST.800-53.R5 AC-4 (21)
Catégorie : Protéger > Services de protection
Gravité : Moyenne
Type de ressource : AWS::CloudFront::Distribution
Règle AWS Config : cloudfront-associated-with-waf
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si les CloudFront distributions sont associées à des ACL AWS WAF classiques ou AWS WAF Web. Le contrôle échoue si la distribution n'est pas associée à une ACL Web.
AWS WAF est un pare-feu d'applications Web qui aide à protéger les applications Web et les API contre les attaques. Il vous permet de configurer un ensemble de règles appelé liste de contrôle d'accès web (ACL web) qui autorisent, bloquent ou comptent les requêtes web en fonction des règles et conditions de sécurité web personnalisables que vous définissez. Assurez-vous que votre CloudFront distribution est associée à une ACL AWS WAF Web afin de la protéger contre les attaques malveillantes.
Correction
Pour associer une ACL AWS WAF Web à une CloudFront distribution, consultez la section Utiliser AWS WAF pour contrôler l'accès à votre contenu dans le manuel Amazon CloudFront Developer Guide.
[CloudFront.7] les CloudFront distributions doivent utiliser des certificats SSL/TLS personnalisés
Exigences connexes : NIST.800-53.R5 AC-17 (2), NIST.800-53.R5 AC-4, NIST.800-53.R5 IA-5 (1), NIST.800-53.R5 SC-12 (3), NIST.800-53.R5 SC-13, NIST.800-53.R5 SC-23 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-8, NIST.800-53.R5 SC-8 (1), NIST.800-53.R5 SC-8 (2), NIST.800-53.R5 SI-7 (6)
Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit
Gravité : Moyenne
Type de ressource : AWS::CloudFront::Distribution
Règle AWS Config : cloudfront-custom-ssl-certificate
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si les CloudFront distributions utilisent le certificat SSL/TLS par défaut fourni. CloudFront Ce contrôle passe si la CloudFront distribution utilise un certificat SSL/TLS personnalisé. Ce contrôle échoue si la CloudFront distribution utilise le certificat SSL/TLS par défaut.
Les protocoles SSL/TLS personnalisés permettent à vos utilisateurs d'accéder au contenu en utilisant des noms de domaine alternatifs. Vous pouvez stocker des certificats personnalisés dans AWS Certificate Manager (recommandé) ou dans IAM.
Correction
Pour ajouter un autre nom de domaine pour une CloudFront distribution à l'aide d'un certificat SSL/TLS personnalisé, consultez la section Ajouter un autre nom de domaine dans le manuel Amazon CloudFront Developer Guide.
[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
Exigences connexes : NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-2
Catégorie : Protéger - Configuration réseau sécurisée
Gravité : Faible
Type de ressource : AWS::CloudFront::Distribution
Règle AWS Config : cloudfront-sni-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si les CloudFront distributions Amazon utilisent un certificat SSL/TLS personnalisé et sont configurées pour utiliser le SNI pour traiter les requêtes HTTPS. Ce contrôle échoue si un certificat SSL/TLS personnalisé est associé mais que la méthode de support SSL/TLS est une adresse IP dédiée.
Server Name Indication (SNI) est une extension du protocole TLS prise en charge par les navigateurs et les clients lancés après 2010. Si vous configurez CloudFront pour répondre aux demandes HTTPS à l'aide du SNI, CloudFront associez votre nom de domaine alternatif à une adresse IP pour chaque emplacement périphérique. Lorsqu’un utilisateur envoie une demande HTTPS pour votre contenu, DNS achemine la demande vers l’adresse IP de l’emplacement périphérique correct. L’adresse IP vers votre nom de domaine est déterminée au cours de la négociation de la liaison SSL/TLS. L’adresse IP n’est pas dédiée à votre distribution.
Correction
Pour configurer une CloudFront distribution afin d'utiliser le SNI pour traiter les requêtes HTTPS, consultez la section Utilisation du SNI pour servir les requêtes HTTPS (fonctionne pour la plupart des clients) dans le guide du CloudFront développeur.
[CloudFront.9] les CloudFront distributions doivent chiffrer le trafic vers des origines personnalisées
Exigences connexes : NIST.800-53.R5 AC-17 (2), NIST.800-53.R5 AC-4, NIST.800-53.R5 IA-5 (1), NIST.800-53.R5 SC-12 (3), NIST.800-53.R5 SC-13, NIST.800-53.R5 SC-23 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-8, NIST.800-53.R5 SC-8 (1), NIST.800-53.R5 SC-8 (2), NIST.800-53.R5 SI-7 (6)
Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit
Gravité : Moyenne
Type de ressource : AWS::CloudFront::Distribution
Règle AWS Config : cloudfront-traffic-to-origin-encrypted
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si les CloudFront distributions Amazon chiffrent le trafic vers des origines personnalisées. Ce contrôle échoue pour une CloudFront distribution dont la politique du protocole d'origine autorise le « HTTP uniquement ». Ce contrôle échoue également si la politique du protocole d'origine de la distribution est « match-viewer » alors que la politique du protocole du viewer est « allow-all ».
Le protocole HTTPS (TLS) peut être utilisé pour empêcher l'écoute ou la manipulation du trafic réseau. Seules les connexions chiffrées via HTTPS (TLS) doivent être autorisées.
Correction
Pour mettre à jour la politique du protocole d'origine afin d'exiger le chiffrement d'une CloudFront connexion, consultez la section Exiger le protocole HTTPS pour la communication entre CloudFront et votre origine personnalisée dans le manuel du CloudFront développeur Amazon.
[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées
Exigences connexes : NIST.800-53.R5 AC-17 (2), NIST.800-53.R5 AC-4, NIST.800-53.R5 IA-5 (1), NIST.800-53.R5 SC-12 (3), NIST.800-53.R5 SC-13, NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-8, NIST.800-53.R5 SC-8 (1), NIST.800-53.R5 SC-8 (2), NIST.800-53.R5 SI-7 (6)
Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit
Gravité : Moyenne
Type de ressource : AWS::CloudFront::Distribution
Règle AWS Config : cloudfront-no-deprecated-ssl-protocols
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si les CloudFront distributions Amazon utilisent des protocoles SSL obsolètes pour la communication HTTPS entre les emplacements CloudFront périphériques et vos origines personnalisées. Ce contrôle échoue si une CloudFront distribution possède un CustomOriginConfig Where OriginSslProtocols includesSSLv3.
En 2015, l'Internet Engineering Task Force (IETF) a officiellement annoncé que le protocole SSL 3.0 devait être abandonné car le protocole n'était pas suffisamment sécurisé. Il est recommandé d'utiliser TLSv1.2 ou version ultérieure pour les communications HTTPS avec vos origines personnalisées.
Correction
Pour mettre à jour les protocoles SSL d'origine pour une CloudFront distribution, consultez la section Exiger le protocole HTTPS pour la communication entre CloudFront et votre origine personnalisée dans le manuel Amazon CloudFront Developer Guide.
[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes
Exigences connexes : NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)
Catégorie : Identifier > Configuration des ressources
Gravité : Élevée
Type de ressource : AWS::CloudFront::Distribution
Règle AWS Config : cloudfront-s3-origin-non-existent-bucket
Type de calendrier : Périodique
Paramètres : Aucun
Ce contrôle vérifie si les CloudFront distributions Amazon pointent vers des origines Amazon S3 inexistantes. Le contrôle échoue pour une CloudFront distribution si l'origine est configurée pour pointer vers un bucket inexistant. Ce contrôle s'applique uniquement aux CloudFront distributions où un compartiment S3 sans hébergement de site Web statique est l'origine S3.
Lorsqu'une CloudFront distribution de votre compte est configurée pour pointer vers un bucket inexistant, un tiers malveillant peut créer le bucket référencé et diffuser son propre contenu via votre distribution. Nous vous recommandons de vérifier toutes les origines, quel que soit le comportement de routage, afin de vous assurer que vos distributions pointent vers des origines appropriées.
Correction
Pour modifier une CloudFront distribution afin qu'elle pointe vers une nouvelle origine, consultez la section Mettre à jour une distribution dans le manuel Amazon CloudFront Developer Guide.
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
Catégorie : Protéger > Gestion des accès sécurisés > Ressource non accessible au public
Gravité : Moyenne
Type de ressource : AWS::CloudFront::Distribution
Règle AWS Config : cloudfront-s3-origin-access-control-enabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si le contrôle d'accès à l'origine (OAC) d'une CloudFront distribution Amazon avec une origine Amazon S3 est configuré. Le contrôle échoue si OAC n'est pas configuré pour la CloudFront distribution.
Lorsque vous utilisez un compartiment S3 comme origine pour votre CloudFront distribution, vous pouvez activer OAC. Cela permet d'accéder au contenu du bucket uniquement via la CloudFront distribution spécifiée, et interdit l'accès directement depuis le bucket ou une autre distribution. Bien qu'il soit CloudFront compatible avec Origin Access Identity (OAI), OAC offre des fonctionnalités supplémentaires et les distributions utilisant OAI peuvent migrer vers OAC. Bien que l'OAI fournisse un moyen sécurisé d'accéder aux origines de S3, il présente des limites, telles que le manque de prise en charge des configurations de politiques granulaires et des requêtes HTTP/HTTPS utilisant la méthode POST et Régions AWS nécessitant la version de AWS signature 4 (SigV4). OAI ne prend pas non plus en charge le chiffrement avec AWS Key Management Service. L'OAC est basé sur une bonne pratique qui AWS consiste à utiliser les principes de service IAM pour s'authentifier avec les origines S3.
Correction
Pour configurer OAC pour une CloudFront distribution avec des origines S3, consultez Restreindre l'accès à une origine Amazon S3 dans le manuel Amazon CloudFront Developer Guide.
[CloudFront.14] les CloudFront distributions doivent être étiquetées
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::CloudFront::Distribution
AWS Config règle : tagged-cloudfront-distribution (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences | Aucune valeur par défaut |
Ce contrôle vérifie si une CloudFront distribution Amazon possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si la distribution ne possède aucune clé de balise ou si toutes les clés spécifiées dans le paramètre ne sont pas présentesrequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si la distribution n'est étiquetée avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM.
Note
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à une CloudFront distribution, consultez la section Marquage des CloudFront distributions Amazon dans le manuel Amazon CloudFront Developer Guide.
