Journal des modifications pour les contrôles du Security Hub - AWS Security Hub

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Journal des modifications pour les contrôles du Security Hub

Le journal des modifications suivant suit les modifications importantes apportées aux contrôles de AWS Security Hub sécurité, qui peuvent entraîner des modifications de l'état général d'un contrôle et de l'état de conformité de ses conclusions. Pour plus d'informations sur la manière dont Security Hub évalue l'état des contrôles, consultezÉtat de conformité et statut de contrôle. Les modifications peuvent prendre quelques jours après leur entrée dans ce journal pour affecter toutes les Régions AWS entités dans lesquelles le contrôle est disponible.

Ce journal suit les changements survenus depuis avril 2023.

Important

Les contrôles suivants modifieront les titres au cours du premier trimestre 2024. Amazon Simple Storage Service (Amazon S3) a introduit un nouveau type de compartiment appelé bucket de répertoire. Le type de godet standard est appelé godet à usage général. Les contrôles suivants s'appliquent aux compartiments à usage général, comme en témoignent les nouveaux titres de contrôle. Les identifiants de contrôle de ces contrôles ne changent pas. Plusieurs jours peuvent être nécessaires pour que les modifications de titre soient répercutées dans leur intégralitéRégions AWS.

Date de modification ID et titre du contrôle Description du changement
5 février 2024 [EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge Security Hub a mis à jour la plus ancienne version prise en charge de Kubernetes sur laquelle le cluster Amazon EKS peut s'exécuter afin de produire un résultat transmis. La version actuellement prise en charge la plus ancienne est Kubernetes1.25.
10 janvier 2024 [CodeBuild.1] Les URL du référentiel source CodeBuild Bitbucket ne doivent pas contenir d'informations d'identification sensibles Le titre modifié CodeBuild GitHub ou les URL du référentiel source Bitbucket doivent utiliser OAuth. Les URL du référentiel source CodeBuild Bitbucket ne doivent pas contenir d'informations d'identification sensibles. Security Hub a supprimé la mention d'OAuth car d'autres méthodes de connexion peuvent également être sécurisées. Security Hub a supprimé la mention GitHub car il n'est plus possible d'avoir un jeton d'accès personnel ou un nom d'utilisateur et un mot de passe dans les URL du référentiel GitHub source.
8 janvier 2024 [Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub ne prend plus en charge go1.x et en java8 tant que paramètres car il s'agit d'environnements d'exécution retirés.
29 décembre 2023 [RDS.8] La protection contre la suppression des instances de base de données RDS doit être activée RDS.8 vérifie si la protection contre la suppression est activée sur une instance de base de données Amazon RDS qui utilise l'un des moteurs de base de données pris en charge. Security Hub prend désormais en charge custom-oracle-eeoracle-ee-cdb, et en oracle-se2-cdb tant que moteurs de base de données.
22 décembre 2023 [Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub prend désormais en charge java21 et en python3.12 tant que paramètres. Security Hub n'est plus pris en charge en ruby2.7 tant que paramètre.
15 décembre 2023 [CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré CloudFront.1 vérifie si un objet racine par défaut est configuré pour une CloudFront distribution Amazon. Security Hub a réduit le niveau de sévérité de ce contrôle de CRITIQUE à ÉLEVÉ, car l'ajout de l'objet racine par défaut est une recommandation qui dépend de l'application de l'utilisateur et des exigences spécifiques.
5 décembre 2023 [EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22 Le titre du contrôle a été modifié : les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 vers les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22.
5 décembre 2023 [EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389 Le titre du contrôle est passé de « Assurez-vous qu'aucun groupe de sécurité n'autorise l'entrée depuis 0.0.0.0/0 vers le port 3389 » à « Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389 ».
5 décembre 2023 [RDS.9] Les instances de base de données RDS doivent publier des journaux dans Logs CloudWatch Le titre de contrôle modifié de la journalisation de la base de données doit être activé pour que les instances de base de données RDS publient les journaux dans les CloudWatch journaux. Security Hub a identifié que ce contrôle vérifie uniquement si les journaux sont publiés sur Amazon CloudWatch Logs et ne vérifie pas si les journaux RDS sont activés. Le contrôle permet de déterminer si PASSED les instances de base de données RDS sont configurées pour publier des journaux dans CloudWatch Logs. Le titre du contrôle a été mis à jour pour refléter le comportement actuel.
17 novembre 2023 [EC2.19] Les groupes de sécurité ne doivent pas autoriser un accès illimité aux ports présentant un risque élevé L'EC2.19 vérifie si le trafic entrant non restreint pour un groupe de sécurité est accessible aux ports spécifiés considérés comme présentant un risque élevé. Security Hub a mis à jour ce contrôle pour prendre en compte les listes de préfixes gérées lorsqu'elles sont fournies comme source pour une règle de groupe de sécurité. Le contrôle produit un FAILED résultat si les listes de préfixes contiennent les chaînes « 0.0.0.0/0 » ou « : :/0».
16 novembre 2023 [CloudWatch.15] les CloudWatch alarmes doivent avoir des actions spécifiées configurées Le titre de contrôle modifié, passant d'CloudWatch une alarme à une action configurée pour l'état ALARM, doit être CloudWatch remplacée par une action spécifiée configurée pour les alarmes.
16 novembre 2023 [CloudWatch.16] les groupes de CloudWatch journaux doivent être conservés pendant une période spécifiée Le titre de contrôle modifié des groupes de CloudWatch journaux doit être conservé pendant au moins un an alors que les groupes de CloudWatch journaux doivent être conservés pendant une période spécifiée.
16 novembre 2023 [Lambda.5] Les fonctions Lambda VPC doivent fonctionner dans plusieurs zones de disponibilité Titre de contrôle modifié, les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité et les fonctions Lambda VPC doivent fonctionner dans plusieurs zones de disponibilité.
16 novembre 2023 [AppSync.2] AWS AppSync doit avoir activé la journalisation au niveau du champ Le titre de contrôle modifié de AWS AppSyncdevrait avoir activé la journalisation au niveau de la demande et au niveau du champ pour activer la journalisation au AWS AppSync niveau du champ.
16 novembre 2023 [EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques Titre de contrôle modifié : les nœuds principaux du MapReduce cluster Amazon Elastic ne doivent pas avoir d'adresse IP publique alors que les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresse IP publique.
16 novembre 2023 Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public Le titre de contrôle modifié, OpenSearch les domaines doivent se trouver dans un VPC et les OpenSearchdomaines ne doivent pas être accessibles au public.
16 novembre 2023 [ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public Le titre de contrôle modifié, les domaines Elasticsearch doivent figurer dans un VPC et les domaines Elasticsearch ne doivent pas être accessibles au public.
31 octobre 2023 [ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée ES.4 vérifie si les domaines Elasticsearch sont configurés pour envoyer des journaux d'erreurs à Amazon Logs. CloudWatch Le contrôle a précédemment produit une PASSED recherche pour un domaine Elasticsearch dont tous les journaux étaient configurés pour être envoyés à CloudWatch Logs. Security Hub a mis à jour le contrôle afin de générer un PASSED résultat uniquement pour un domaine Elasticsearch configuré pour envoyer des journaux d'erreurs à Logs. CloudWatch Le contrôle a également été mis à jour pour exclure de l'évaluation les versions d'Elasticsearch qui ne prennent pas en charge les journaux d'erreurs.
16 octobre 2023 [EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22 L'EC2.13 vérifie si les groupes de sécurité autorisent un accès d'entrée illimité au port 22. Security Hub a mis à jour ce contrôle pour prendre en compte les listes de préfixes gérées lorsqu'elles sont fournies comme source pour une règle de groupe de sécurité. Le contrôle produit un FAILED résultat si les listes de préfixes contiennent les chaînes « 0.0.0.0/0 » ou « : :/0».
16 octobre 2023 [EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389 EC2.14 vérifie si les groupes de sécurité autorisent un accès d'entrée illimité au port 3389. Security Hub a mis à jour ce contrôle pour prendre en compte les listes de préfixes gérées lorsqu'elles sont fournies comme source pour une règle de groupe de sécurité. Le contrôle produit un FAILED résultat si les listes de préfixes contiennent les chaînes « 0.0.0.0/0 » ou « : :/0».
16 octobre 2023 [EC2.18] Les groupes de sécurité ne doivent autoriser le trafic entrant illimité que pour les ports autorisés L'EC2.18 vérifie si les groupes de sécurité utilisés autorisent le trafic entrant sans restriction. Security Hub a mis à jour ce contrôle pour prendre en compte les listes de préfixes gérées lorsqu'elles sont fournies comme source pour une règle de groupe de sécurité. Le contrôle produit un FAILED résultat si les listes de préfixes contiennent les chaînes « 0.0.0.0/0 » ou « : :/0».
16 octobre 2023 [Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub le prend désormais en charge en python3.11 tant que paramètre.
4 octobre 2023 [S3.7] La réplication entre régions doit être activée dans les compartiments S3 Security Hub a ajouté le paramètre ReplicationType avec la valeur de CROSS-REGION pour garantir que la réplication entre régions est activée dans les compartiments S3 plutôt que la réplication entre régions.
27 septembre 2023 [EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge Security Hub a mis à jour la plus ancienne version prise en charge de Kubernetes sur laquelle le cluster Amazon EKS peut s'exécuter afin de produire un résultat transmis. La version actuellement prise en charge la plus ancienne est Kubernetes1.24.
20 septembre 2023 CloudFront.2 — L'identité d'accès à l'origine doit être activée pour les CloudFront distributions Security Hub a retiré ce contrôle et l'a retiré de toutes les normes. Reportez-vous plutôt à la section [CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine. Le contrôle d'accès à l'origine est la meilleure pratique de sécurité actuelle. Ce contrôle sera supprimé de la documentation dans 90 jours.
20 septembre 2023 [EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés Security Hub a supprimé ce contrôle de AWS Foundational Security Best Practices (FSBP) et du National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5. Il fait toujours partie de Service-Managed Standard :. AWS Control Tower Ce contrôle produit un résultat positif si des groupes de sécurité sont attachés à des instances EC2 ou à une interface elastic network. Toutefois, dans certains cas d'utilisation, les groupes de sécurité indépendants ne présentent aucun risque de sécurité. Vous pouvez utiliser d'autres contrôles EC2, tels que EC2.2, EC2.13, EC2.14, EC2.18 et EC2.19, pour surveiller vos groupes de sécurité.
20 septembre 2023 EC2.29 — Les instances EC2 doivent être lancées dans un VPC Security Hub a retiré ce contrôle et l'a retiré de toutes les normes. Amazon EC2 a migré des instances EC2-Classic vers un VPC. Ce contrôle sera supprimé de la documentation dans 90 jours.
20 septembre 2023 S3.4 — Le chiffrement côté serveur doit être activé pour les compartiments S3 Security Hub a retiré ce contrôle et l'a retiré de toutes les normes. Amazon S3 fournit désormais un chiffrement par défaut avec des clés gérées S3 (SS3-S3) sur les compartiments S3 nouveaux et existants. Les paramètres de chiffrement restent inchangés pour les compartiments existants chiffrés avec le chiffrement côté serveur SS3-S3 ou SS3-KMS. Ce contrôle sera supprimé de la documentation dans 90 jours.
14 septembre 2023 [EC2.2] Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant Titre de contrôle modifié : le groupe de sécurité par défaut du VPC ne doit pas autoriser le trafic entrant et sortant est remplacé par le groupe de sécurité par défaut du VPC ne doit pas autoriser le trafic entrant ou sortant.
14 septembre 2023 [IAM.9] La MFA doit être activée pour l'utilisateur root Le titre de contrôle modifié de Virtual MFA doit être activé pour l'utilisateur root à MFA doit être activé pour l'utilisateur root.

14 septembre 2023

[RDS.19] Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques du cluster Le titre du contrôle a été modifié, passant d'un abonnement aux notifications d'événements RDS pour les événements critiques du cluster à un abonnement aux notifications d'événements RDS existant doit être configuré pour les événements critiques du cluster.
14 septembre 2023 [RDS.20] Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques relatifs aux instances de base de données Le titre de contrôle a été modifié, passant d'un abonnement aux notifications d'événements RDS pour les événements critiques d'instance de base de données à un abonnement aux notifications d'événements RDS existant doit être configuré pour les événements critiques d'instance de base de données.
14 septembre 2023 [WAF.2] Les règles régionales AWS WAF classiques doivent comporter au moins une condition Titre de contrôle modifié d'une règle régionale WAF doit comporter au moins une condition à une règle régionale AWS WAF classique doit comporter au moins une condition.
14 septembre 2023 [WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle Le titre de contrôle est passé d'un groupe de règles régional WAF doit comporter au moins une règle à un groupe de règles régional AWS WAF classique qui doit avoir au moins une règle.
14 septembre 2023 [WAF.4] Les ACL Web régionales AWS WAF classiques doivent comporter au moins une règle ou un groupe de règles Titre de contrôle modifié, passant d'une ACL Web régionale WAF doit comporter au moins une règle ou un groupe de règles à une ACL Web régionale AWS WAF classique doit comporter au moins une règle ou un groupe de règles.
14 septembre 2023 [WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition Titre de contrôle modifié, passant d'une règle globale WAF doit comporter au moins une condition à Une règle globale AWS WAF classique doit comporter au moins une condition.
14 septembre 2023 [WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle Le titre du contrôle est passé d'un groupe de règles global WAF doit comporter au moins une règle à un groupe de règles global AWS WAF classique doit avoir au moins une règle.
14 septembre 2023 [WAF.8] Les ACL Web globales AWS WAF classiques doivent comporter au moins une règle ou un groupe de règles Titre de contrôle modifié, passant d'une ACL Web globale WAF doit comporter au moins une règle ou un groupe de règles à une liste ACL Web globale AWS WAF classique doit comporter au moins une règle ou un groupe de règles.
14 septembre 2023 [WAF.10] Les ACL AWS WAF Web doivent avoir au moins une règle ou un groupe de règles Titre de contrôle modifié d'une ACL Web WAFv2 doit comporter au moins une règle ou un groupe de règles à une liste ACL AWS WAF Web doit avoir au moins une règle ou un groupe de règles.
14 septembre 2023 [WAF.11] La journalisation des ACL AWS WAF Web doit être activée Le titre de contrôle modifié, passant de la journalisation ACL AWS WAF Web AWS WAF v2 à la journalisation ACL Web doit être activée.

20 juillet 2023

S3.4 — Le chiffrement côté serveur doit être activé pour les compartiments S3 S3.4 vérifie si le chiffrement côté serveur est activé sur un compartiment Amazon S3 ou si la politique du compartiment S3 refuse explicitement les PutObject demandes sans chiffrement côté serveur. Security Hub a mis à jour ce contrôle pour inclure le chiffrement double couche côté serveur avec des clés KMS (DSSE-KMS). Le contrôle produit un résultat transmis lorsqu'un compartiment S3 est chiffré avec SSE-S3, SSE-KMS ou DSSE-KMS.
17 juillet 2023 [S3.17] Les compartiments S3 doivent être chiffrés au repos avec AWS KMS keys S3.17 vérifie si un compartiment Amazon S3 est chiffré avec un. AWS KMS key Security Hub a mis à jour ce contrôle pour inclure le chiffrement double couche côté serveur avec des clés KMS (DSSE-KMS). Le contrôle produit un résultat transmis lorsqu'un compartiment S3 est chiffré avec SSE-KMS ou DSSE-KMS.
9 juin 2023 [EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge EKS.2 vérifie si un cluster Amazon EKS s'exécute sur une version de Kubernetes prise en charge. La plus ancienne version prise en charge est maintenant. 1.23
9 juin 2023 [Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub le prend désormais en charge en ruby3.2 tant que paramètre.
5 juin 2023 [APIGateway.5] Les données du cache de l'API REST API Gateway doivent être chiffrées au repos APIGateway.5. Vérifie si toutes les méthodes des étapes de l'API REST d'Amazon API Gateway sont chiffrées au repos. Security Hub a mis à jour le contrôle pour évaluer le chiffrement d'une méthode particulière uniquement lorsque la mise en cache est activée pour cette méthode.
18 mai 2023 [Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub le prend désormais en charge en java17 tant que paramètre.
18 mai 2023 [Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub n'est plus pris en charge en nodejs12.x tant que paramètre.
23 avril 2023 [ECS.10] Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate ECS.10 vérifie si les services Amazon ECS Fargate exécutent la dernière version de la plateforme Fargate. Les clients peuvent déployer Amazon ECS par le biais d'ECS directement ou en utilisant CodeDeploy. Security Hub a mis à jour ce contrôle pour produire des résultats positifs lorsque vous l'utilisez CodeDeploy pour déployer les services ECS Fargate.
20 avril 2023 [S3.6] Les autorisations S3 accordées à d'autres politiques Comptes AWS internes au compartiment doivent être restreintes S3.6 vérifie si une politique de compartiment Amazon Simple Storage Service (Amazon S3) empêche les principaux tiers Comptes AWS d'effectuer des actions refusées sur les ressources du compartiment S3. Security Hub a mis à jour le contrôle pour tenir compte des conditions dans une politique de compartiment.
18 avril 2023 [Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub le prend désormais en charge en python3.10 tant que paramètre.
18 avril 2023 [Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub n'est plus pris en charge en dotnetcore3.1 tant que paramètre.
17 avril 2023 [RDS.11] Les sauvegardes automatiques doivent être activées sur les instances RDS RDS.11 vérifie si les instances Amazon RDS ont activé les sauvegardes automatisées, avec une période de conservation des sauvegardes supérieure ou égale à sept jours. Security Hub a mis à jour ce contrôle pour exclure les répliques en lecture de l'évaluation, car tous les moteurs ne prennent pas en charge les sauvegardes automatiques sur les répliques en lecture. En outre, RDS ne permet pas de spécifier une période de conservation des sauvegardes lors de la création de répliques en lecture. Les répliques en lecture sont créées avec une période de conservation des sauvegardes 0 par défaut.