Contrôles Amazon Elastic Compute Cloud - AWS Security Hub
[EC2.1] Les instantanés Amazon EBS ne doivent pas être restaurables publiquement[EC2.2] Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant[EC2.3] Les volumes Amazon EBS attachés doivent être chiffrés au repos[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée[EC2.6] La journalisation des flux VPC doit être activée dans tous les VPC[EC2.7] Le chiffrement par défaut EBS doit être activé[EC2.8] Les instances EC2 doivent utiliser le service de métadonnées d'instance version 2 (IMDSv2)[EC2.9] Les instances Amazon EC2 ne doivent pas avoir d'adresse IPv4 publique[EC2.10] Amazon EC2 doit être configuré pour utiliser les points de terminaison VPC créés pour le service Amazon EC2[EC2.12] Les EIP Amazon EC2 non utilisés doivent être supprimés[EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée entre 0.0.0.0/0 et le port 22[EC2.14] Assurez-vous qu'aucun groupe de sécurité n'autorise l'entrée entre 0.0.0.0/0 et le port 3389[EC2.15] Les sous-réseaux Amazon EC2 ne doivent pas attribuer automatiquement d'adresses IP publiques[EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées[EC2.17] Les instances Amazon EC2 ne doivent pas utiliser plusieurs ENI[EC2.18] Les groupes de sécurité ne devraient autoriser le trafic entrant illimité que pour les ports autorisés[EC2.19] Les groupes de sécurité ne doivent pas autoriser un accès illimité aux ports présentant un risque élevé[EC2.20] Les deux tunnels VPN pour une connexion VPN de AWS site à site devraient être actifs[EC2.21] Les ACL réseau ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389[EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés[EC2.23] Les passerelles de transit Amazon EC2 ne doivent pas accepter automatiquement les demandes de pièces jointes VPC[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés[EC2.25] Les modèles de lancement Amazon EC2 ne doivent pas attribuer d'adresses IP publiques aux interfaces réseau[EC2.28] Les volumes EBS doivent être couverts par un plan de sauvegarde[EC2.29] Les instances EC2 doivent être lancées dans un VPC

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôles Amazon Elastic Compute Cloud

Ces contrôles sont liés aux ressources Amazon EC2.

Il est possible que ces commandes ne soient pas toutes disponiblesRégions AWS. Pour en savoir plus, consultez Disponibilité des contrôles par région.

[EC2.1] Les instantanés Amazon EBS ne doivent pas être restaurables publiquement

Exigences connexes : PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (20), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (3), NiST.800-53.R5 SC-7 (3), NiST.800-53.R5 SC-7 (3), NiST.800-53.R5 SC-7 (3), NiST.800-53.R5 SC-7 (3) .800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9)

Catégorie : Protéger - Configuration réseau sécurisée

Gravité : Critique

Type de ressource : AWS::::Account

Règle AWS Config : ebs-snapshot-public-restorable-check

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si les instantanés Amazon Elastic Block Store ne sont pas publics. Le contrôle échoue si les instantanés Amazon EBS peuvent être restaurés par n'importe qui.

Les instantanés EBS sont utilisés pour sauvegarder les données de vos volumes EBS sur Amazon S3 à un moment précis. Vous pouvez utiliser les instantanés pour restaurer les états précédents des volumes EBS. Il est rarement acceptable de partager un instantané avec le public. Généralement, la décision de partager un instantané publiquement a été prise par erreur ou sans une compréhension complète des implications. Cette vérification permet de s'assurer que tout ce partage a été entièrement planifié et intentionnel.

Pour rendre privé un instantané EBS public, consultez Partager un instantané dans le Guide de l'utilisateur Amazon EC2 pour les instances Linux. Pour Actions, Modifier les autorisations, choisissez Privé.

[EC2.2] Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant

Exigences connexes : PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/2.1, CIS AWS Foundations Benchmark v1.2.0/4.3, CIS Foundations Benchmark v1.4.0/5.3, Nist.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (5) AWS

Catégorie : Protéger - Configuration réseau sécurisée

Gravité : Élevée

Type de ressource : AWS::EC2::SecurityGroup

Règle AWS Config : vpc-default-security-group-closed

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si le groupe de sécurité par défaut d'un VPC autorise le trafic entrant ou sortant. Le contrôle échoue si le groupe de sécurité autorise le trafic entrant ou sortant.

Les règles du groupe de sécurité par défaut autorisent tout le trafic sortant et entrant à partir d’interfaces réseau (et de leurs instances associées) affectées au même groupe de sécurité. Nous vous recommandons de ne pas utiliser le groupe de sécurité par défaut. Étant donné que le groupe de sécurité par défaut ne peut pas être supprimé, vous devez modifier le paramètre des règles de groupe de sécurité par défaut pour restreindre le trafic entrant et sortant. Vous empêchez ainsi le trafic non prévu, si le groupe de sécurité par défaut est accidentellement configuré pour des ressources telles que les instances EC2.

Correction

Pour remédier à ce problème, commencez par créer de nouveaux groupes de sécurité dotés du moindre privilège. Pour obtenir des instructions, consultez la section Créer un groupe de sécurité dans le guide de l'utilisateur Amazon VPC. Attribuez ensuite les nouveaux groupes de sécurité à vos instances EC2. Pour obtenir des instructions, consultez Modifier le groupe de sécurité d'une instance dans le guide de l'utilisateur Amazon EC2 pour les instances Linux.

Après avoir attribué les nouveaux groupes de sécurité à vos ressources, supprimez toutes les règles entrantes et sortantes des groupes de sécurité par défaut. Pour obtenir des instructions, consultez Supprimer les règles de groupe de sécurité dans le guide de l'utilisateur Amazon VPC.

[EC2.3] Les volumes Amazon EBS attachés doivent être chiffrés au repos

Exigences connexes : NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-3 (6), NIST.800-53.R5 SC-13, NIST.800-53.R5 SC-28, NIST.800-53.R5 SC-28 (1), NIST.800-53.R5 SC-7 (10), NIST.800-53.R5 SI-7 (6)

Catégorie : Protéger - Protection des données - Chiffrement des données au repos

Gravité : Moyenne

Type de ressource : AWS::EC2::Volume

Règle AWS Config : encrypted-volumes

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie que les volumes EBS attachés sont chiffrés. Pour réussir cette vérification, les volumes EBS doivent être en cours d'utilisation et chiffrés. Si le volume EBS n'est pas attaché, il ne fait pas partie de la portée de cette vérification.

Pour une couche supplémentaire de sécurité de vos données sensibles dans les volumes EBS, vous devez activer le chiffrement EBS au repos. Le chiffrement Amazon EBS offre une solution simple de chiffrement pour vos ressources EBS, qui n'exige pas de développer, contrôler ni sécuriser votre propre infrastructure de gestion de clés. Il utilise des clés KMS lors de la création de volumes chiffrés et de snapshots.

Pour en savoir plus sur le chiffrement Amazon EBS, consultez le guide de l'utilisateur Amazon EC2 pour les instances Linux sur le chiffrement Amazon EBS.

Correction

Il n'existe aucun moyen direct de chiffrer un volume ou un instantané non chiffré existant. Vous pouvez uniquement chiffrer un nouveau volume ou instantané lorsque vous le créez.

Si vous avez activé le chiffrement par défaut, Amazon EBS chiffre le nouveau volume ou instantané obtenu à l'aide de votre clé par défaut pour le chiffrement Amazon EBS. Même si vous n'avez pas activé le chiffrement par défaut, vous pouvez activer le chiffrement lorsque vous créez un volume ou un instantané spécifique. Dans les deux cas, vous pouvez remplacer la clé par défaut pour le chiffrement Amazon EBS et choisir une clé symétrique gérée par le client.

Pour plus d'informations, consultez les sections Création d'un volume Amazon EBS et Copie d'un instantané Amazon EBS dans le Guide de l'utilisateur Amazon EC2 pour les instances Linux.

[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée

Exigences connexes : NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)

Catégorie : Identifier - Inventaire

Gravité : Moyenne

Type de ressource : AWS::EC2::Instance

Règle AWS Config : ec2-stopped-instance

Type de calendrier : Périodique

Paramètres :

  • allowedDays: 30

Ce contrôle vérifie si des instances EC2 ont été arrêtées pendant plus que le nombre de jours autorisé. Une instance EC2 échoue à cette vérification si elle est arrêtée pendant une durée supérieure à la période maximale autorisée, qui est par défaut de 30 jours.

Un échec de recherche indique qu'une instance EC2 n'a pas été exécutée pendant une longue période. Cela crée un risque de sécurité car l'instance EC2 n'est pas activement maintenue (analysée, corrigée, mise à jour). S'il est lancé ultérieurement, l'absence de maintenance appropriée peut entraîner des problèmes inattendus dans votre AWS environnement. Pour maintenir en toute sécurité une instance EC2 au fil du temps dans un état non opérationnel, démarrez-la régulièrement à des fins de maintenance, puis arrêtez-la après la maintenance. Idéalement, il s'agit d'un processus automatisé.

Correction

Après 30 jours d'inactivité, nous vous recommandons de mettre fin à une instance EC2. Pour obtenir des instructions, consultez la section Mettre fin à une instance dans le Guide de l'utilisateur Amazon EC2 pour les instances Linux.

[EC2.6] La journalisation des flux VPC doit être activée dans tous les VPC

Exigences associées : CIS AWS Foundations Benchmark v1.2.0/2.9, PCI DSS v3.2.1/10.3.3, PCI DSS v3.2.1/10.3.4, PCI DSS v3.2.1/10.3.5, PCI DSS v3.2.1/10.3.6, CIS AWS Foundations Benchmark v1.4.0/3.9, NIST.800-53.R5 AC-4 (26), NIST.800-53.R5 AU-2, NIST.800-53.R5 AU-3, NIST.800-53.R5 AU-6 (3), NIST.800-53.R5 AU-6 (4), NIST.800-53.R5 CA-7, NIST.800-53.R5 SI-7 (8)

Catégorie : Identifier - Journalisation

Gravité : Moyenne

Type de ressource : AWS::EC2::VPC

Règle AWS Config : vpc-flow-logs-enabled

Type de calendrier : Périodique

Paramètres :

  • trafficType: REJECT

Ce contrôle vérifie si les journaux de flux Amazon VPC sont trouvés et activés pour les VPC. Le type de trafic est défini surReject.

Grâce à la fonctionnalité VPC Flow Logs, vous pouvez capturer des informations sur le trafic d'adresses IP à destination et en provenance des interfaces réseau de votre VPC. Après avoir créé un journal de flux, vous pouvez consulter et récupérer ses données dans CloudWatch Logs. Pour réduire les coûts, vous pouvez également envoyer vos journaux de flux vers Amazon S3.

Security Hub vous recommande d'activer la journalisation des flux pour les rejets de paquets pour les VPC. Les journaux de flux fournissent une visibilité sur le trafic réseau qui traverse le VPC et peuvent détecter le trafic anormal ou fournir des informations lors des flux de travail de sécurité.

Par défaut, l'enregistrement inclut des valeurs pour les différents composants du flux d'adresses IP, notamment la source, la destination et le protocole. Pour plus d'informations et une description des champs de journal, consultez les journaux de flux VPC dans le guide de l'utilisateur Amazon VPC.

Correction

Pour créer un journal de flux VPC, consultez la section Créer un journal de flux dans le guide de l'utilisateur Amazon VPC. Après avoir ouvert la console Amazon VPC, choisissez Your VPC. Pour Filtrer, choisissez Rejeter ou Tout.

[EC2.7] Le chiffrement par défaut EBS doit être activé

Exigences connexes : CIS AWS Foundations Benchmark v1.4.0/2.2.1, Nist.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-3 (6), NIST.800-53.R5 SC-13, NIST.800-53.R5 SC-28, NIST.800-53.R5 SC-7 (10), NIST.800-53.R5 76 (6)

Catégorie : Protéger - Protection des données - Chiffrement des données au repos

Gravité : Moyenne

Type de ressource : AWS::::Account

Règle AWS Config : ec2-ebs-encryption-by-default

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si le chiffrement au niveau du compte est activé par défaut pour Amazon Elastic Block Store (Amazon EBS). Le contrôle échoue si le chiffrement au niveau du compte n'est pas activé.

Lorsque le chiffrement est activé pour votre compte, les volumes Amazon EBS et les copies instantanées sont chiffrés au repos. Cela ajoute un niveau de protection supplémentaire à vos données. Pour plus d'informations, consultez Chiffrement par défaut dans le Guide de l'utilisateur Amazon EC2 pour les instances Linux.

Notez que les types d'instance suivants ne prennent pas en charge le chiffrement : R1, C1 et M1.

Correction

Pour configurer le chiffrement par défaut pour les volumes Amazon EBS, consultez la section Chiffrement par défaut dans le Guide de l'utilisateur Amazon EC2 pour les instances Linux.

[EC2.8] Les instances EC2 doivent utiliser le service de métadonnées d'instance version 2 (IMDSv2)

Exigences connexes : NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (15), NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-6

Catégorie : Protection > Sécurité du réseau

Gravité : Élevée

Type de ressource : AWS::EC2::Instance

Règle AWS Config : ec2-imdsv2-check

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si la version des métadonnées de votre instance EC2 est configurée avec le service de métadonnées d'instance version 2 (IMDSv2). Le contrôle passe s'il HttpTokens est défini sur obligatoire pour IMDSv2. Le contrôle échoue s'il HttpTokens est défini suroptional.

Vous utilisez les métadonnées de l'instance pour configurer ou gérer l'instance en cours d'exécution. L'IMDS donne accès à des informations d'identification temporaires fréquemment renouvelées. Ces informations d'identification éliminent le besoin de coder en dur ou de distribuer des informations d'identification sensibles aux instances manuellement ou par programmation. L'IMDS est attaché localement à chaque instance EC2. Il fonctionne sur une adresse IP spéciale « lien local » 169.254.169.254. Cette adresse IP n'est accessible que par le logiciel qui s'exécute sur l'instance.

La version 2 de l'IMDS ajoute de nouvelles protections pour les types de vulnérabilités suivants. Ces vulnérabilités pourraient être utilisées pour tenter d'accéder à l'IMDS.

  • Pare-feu pour applications de sites Web ouverts

  • Proxies inverses ouverts

  • Vulnérabilités de falsification de requêtes côté serveur (SSRF)

  • Pare-feux de couche 3 ouverts et traduction d'adresses réseau (NAT)

Security Hub vous recommande de configurer vos instances EC2 avec IMDSv2.

Correction

Pour configurer des instances EC2 avec IMDSv2, consultez le chemin recommandé pour exiger IMDSv2 dans le Guide de l'utilisateur Amazon EC2 pour les instances Linux.

[EC2.9] Les instances Amazon EC2 ne doivent pas avoir d'adresse IPv4 publique

Exigences connexes : NIST.800-53.R5 AC-21, NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 AC-6, NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (20), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9)

Catégorie : Protection > Configuration réseau sécurisée > Adresses IP publiques

Gravité : Élevée

Type de ressource : AWS::EC2::Instance

Règle AWS Config : ec2-instance-no-public-ip

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si les instances EC2 possèdent une adresse IP publique. Le contrôle échoue si le publicIp champ est présent dans l'élément de configuration de l'instance EC2. Ce contrôle s'applique uniquement aux adresses IPv4.

Une adresse IPv4 publique est une adresse IP accessible depuis Internet. Si vous lancez votre instance avec une adresse IP publique, votre instance EC2 est accessible depuis Internet. Une adresse IPv4 privée est une adresse IP qui n'est pas accessible depuis Internet. Vous pouvez utiliser des adresses IPv4 privées pour la communication entre les instances EC2 d'un même VPC ou de votre réseau privé connecté.

Les adresses IPv6 sont uniques au monde et sont donc accessibles depuis Internet. Cependant, par défaut, tous les sous-réseaux ont l'attribut d'adressage IPv6 défini sur false. Pour plus d'informations sur IPv6, consultez la section Adressage IP dans votre VPC dans le guide de l'utilisateur Amazon VPC.

Si vous avez un cas d'utilisation légitime pour gérer des instances EC2 avec des adresses IP publiques, vous pouvez supprimer les résultats de ce contrôle. Pour plus d'informations sur les options d'architecture frontale, consultez le blog sur l'AWSarchitecture ou la série This Is My Architecture.

Correction

Utilisez un VPC autre que celui par défaut afin qu'aucune adresse IP publique ne soit attribuée à votre instance par défaut.

Lorsque vous lancez une instance EC2 dans un VPC par défaut, une adresse IP publique lui est attribuée. Lorsque vous lancez une instance EC2 dans un VPC autre que celui par défaut, la configuration du sous-réseau détermine si elle reçoit une adresse IP publique. Le sous-réseau possède un attribut qui permet de déterminer si les nouvelles instances EC2 du sous-réseau reçoivent une adresse IP publique du pool d'adresses IPv4 public.

Vous ne pouvez pas associer ou dissocier manuellement une adresse IP publique attribuée automatiquement de votre instance EC2. Pour contrôler si votre instance EC2 reçoit une adresse IP publique, effectuez l'une des opérations suivantes :

Pour plus d'informations, veuillez consulter Adresses IPv4 publiques et noms d'hôte DNS externes dans le Guide l'utilisateur Amazon EC2 pour les instances Linux.

Si votre instance EC2 est associée à une adresse IP élastique, elle est accessible depuis Internet. Vous pouvez dissocier une adresse IP Elastic d'une instance ou d'une interface réseau à tout moment. Pour dissocier une adresse IP élastique, consultez Dissocier une adresse IP élastique dans le guide de l'utilisateur Amazon EC2 pour les instances Linux.

[EC2.10] Amazon EC2 doit être configuré pour utiliser les points de terminaison VPC créés pour le service Amazon EC2

Exigences connexes : NIST.800-53.R5 AC-21, NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 AC-6, NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (20), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (4)

Catégorie : Protection > Configuration réseau sécurisée > Accès privé à l'API

Gravité : Moyenne

Type de ressource : AWS::EC2::VPC

Règle AWS Config : service-vpc-endpoint-enabled

Type de calendrier : Périodique

Paramètres :

  • serviceName: ec2

Ce contrôle vérifie si un point de terminaison de service pour Amazon EC2 est créé pour chaque VPC. Le contrôle échoue si aucun point de terminaison VPC n'a été créé pour le service Amazon EC2 pour le service Amazon EC2.

Ce contrôle évalue les ressources dans un seul compte. Il ne peut pas décrire les ressources extérieures au compte. Security Hub n'effectuant pas de vérifications entre comptes, vous verrez des FAILED résultats concernant les VPC partagés entre comptes. AWS Config Security Hub vous recommande de supprimer ces FAILED résultats.

Pour améliorer le niveau de sécurité de votre VPC, vous pouvez configurer Amazon EC2 pour utiliser un point de terminaison VPC d'interface. Les points de terminaison de l'interface sont AWS PrivateLink alimentés par une technologie qui vous permet d'accéder aux opérations de l'API Amazon EC2 en privé. Il restreint tout le trafic réseau entre votre VPC et Amazon EC2 vers le réseau Amazon. Comme les points de terminaison ne sont pris en charge que dans la même région, vous ne pouvez pas créer de point de terminaison entre un VPC et un service d'une région différente. Cela empêche les appels d'API Amazon EC2 involontaires vers d'autres régions.

Pour en savoir plus sur la création de points de terminaison VPC pour Amazon EC2, consultez Amazon EC2 et interfacez les points de terminaison VPC dans le guide de l'utilisateur Amazon EC2 pour les instances Linux.

Correction

Pour créer un point de terminaison d'interface vers Amazon EC2 à partir de la console Amazon VPC, consultez la section Créer un point de terminaison VPC dans le guide. AWS PrivateLink Pour le nom du service, choisissez com.amazonaws. région .ec2.

Vous pouvez également créer et associer une politique de point de terminaison à votre point de terminaison VPC afin de contrôler l'accès à l'API Amazon EC2. Pour obtenir des instructions sur la création d'une politique de point de terminaison VPC, consultez la section Créer une politique de point de terminaison dans le guide de l'utilisateur Amazon EC2 pour les instances Linux.

[EC2.12] Les EIP Amazon EC2 non utilisés doivent être supprimés

Exigences associées : PCI DSS v3.2.1/2.4, nIST.800-53.R5 CM-8 (1)

Catégorie : Protéger - Configuration réseau sécurisée

Gravité : Faible

Type de ressource : AWS::EC2::EIP

Règle AWS Config : eip-attached

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si les adresses IP élastiques (EIP) allouées à un VPC sont attachées à des instances EC2 ou à des interfaces réseau élastiques (ENI) en cours d'utilisation.

Un échec de recherche indique que vous avez peut-être des EIP EC2 non utilisés.

Cela vous aidera à maintenir un inventaire précis des actifs EIP dans votre environnement de données de titulaire de carte (CDE).

Pour libérer une EIP non utilisée, consultez la section Libérer une adresse IP élastique dans le guide de l'utilisateur Amazon EC2 pour les instances Linux.

[EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée entre 0.0.0.0/0 et le port 22

Exigences connexes : CIS AWS Foundations Benchmark v1.2.0/4.1, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/2.2.2, NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 CM-7, NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (5)

Catégorie : Protéger - Configuration réseau sécurisée

Gravité : Élevée

Type de ressource : AWS::EC2::SecurityGroup

Règle AWS Config : restricted-ssh

Type de calendrier : changement déclenché

Les groupes de sécurité autorisent le filtrage avec état du trafic réseau entrant et sortant vers des ressources AWS.

CIS recommande qu'aucun groupe de sécurité n'autorise un accès d'entrée illimité au port 22. La suppression d'une connectivité illimitée aux services de la console à distance (SSH, par exemple) réduit le risque qu'un serveur soit compromis.

Correction

Pour interdire l'accès au port 22, supprimez la règle qui autorise un tel accès pour chaque groupe de sécurité associé à un VPC. Pour obtenir des instructions, consultez la section Mettre à jour les règles des groupes de sécurité dans le guide de l'utilisateur Amazon VPC. Après avoir sélectionné un groupe de sécurité dans la console Amazon VPC, choisissez Actions, Modifier les règles entrantes. Supprimez la règle qui autorise l'accès au port 22.

[EC2.14] Assurez-vous qu'aucun groupe de sécurité n'autorise l'entrée entre 0.0.0.0/0 et le port 3389

Exigences associées : CIS AWS Foundations Benchmark v1.2.0/4.2

Catégorie : Protéger - Configuration réseau sécurisée

Gravité : Élevée

Type de ressource : AWS::EC2::SecurityGroup

Règle AWS Config : restricted-common-ports

Type de calendrier : changement déclenché

Le nom de la règle AWS Config gérée associée est restricted-common-ports. Toutefois, la règle créée utilise le nomrestricted-rdp.

Les groupes de sécurité autorisent le filtrage avec état du trafic réseau entrant et sortant vers des ressources AWS.

CIS recommande qu'aucun groupe de sécurité n'autorise un accès d'entrée illimité au port 3389. La suppression d'une connectivité illimitée aux services de la console à distance (RDP, par exemple) réduit le risque qu'un serveur soit compromis.

Correction

Pour interdire l'accès au port 3389, supprimez la règle qui autorise un tel accès pour chaque groupe de sécurité associé à un VPC. Pour obtenir des instructions, consultez la section Mettre à jour les règles des groupes de sécurité dans le guide de l'utilisateur Amazon VPC. Après avoir sélectionné un groupe de sécurité dans la console Amazon VPC, choisissez Actions, Modifier les règles entrantes. Supprimez la règle qui autorise l'accès au port 3389.

[EC2.15] Les sous-réseaux Amazon EC2 ne doivent pas attribuer automatiquement d'adresses IP publiques

Exigences connexes : NIST.800-53.R5 AC-21, NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 AC-6, NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (20), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9)

Catégorie : Protection > Sécurité du réseau

Gravité : Moyenne

Type de ressource : AWS::EC2::Subnet

Règle AWS Config : subnet-auto-assign-public-ip-disabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si l'attribution des adresses IP publiques dans les sous-réseaux Amazon Virtual Private Cloud (Amazon VPC) est définie sur. MapPublicIpOnLaunch FALSE Le contrôle passe si le drapeau est réglé surFALSE.

Tous les sous-réseaux possèdent un attribut qui détermine si une interface réseau créée dans le sous-réseau reçoit automatiquement une adresse IPv4 publique. Les instances lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale.

Correction

Pour configurer un sous-réseau afin de ne pas attribuer d'adresses IP publiques, consultez Modifier l'attribut d'adressage IPv4 public pour votre sous-réseau dans le guide de l'utilisateur Amazon VPC. Décochez la case Activer l'attribution automatique d'une adresse IPv4 publique.

[EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées

Exigences connexes : NIST.800-53.R5 CM-8 (1)

Catégorie : Prévention > Sécurité du réseau

Gravité : Faible

Type de ressource : AWS::EC2::NetworkAcl

Règle AWS Config : vpc-network-acl-unused-check

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie s'il existe des listes de contrôle d'accès réseau (ACL) non utilisées.

Le contrôle vérifie la configuration des éléments de la ressource AWS::EC2::NetworkAcl et détermine les relations entre les ACL du réseau.

Si la seule relation est le VPC de l'ACL réseau, le contrôle échoue.

Si d'autres relations sont répertoriées, le contrôle est transféré.

Correction

Pour obtenir des instructions sur la suppression d'un ACL réseau inutilisé, consultez Supprimer un ACL réseau dans le guide de l'utilisateur Amazon VPC. Vous ne pouvez pas supprimer l'ACL réseau par défaut ou une ACL associée à des sous-réseaux.

[EC2.17] Les instances Amazon EC2 ne doivent pas utiliser plusieurs ENI

Exigences connexes : NIST.800-53.R5 AC-4 (21)

Catégorie : Sécurité du réseau

Gravité : Faible

Type de ressource : AWS::EC2::Instance

Règle AWS Config : ec2-instance-multiple-eni-check

Type de calendrier : changement déclenché

Paramètres :

  • Adapterids(Facultatif) — Liste des identifiants d'interface réseau attachés aux instances EC2

Ce contrôle vérifie si une instance EC2 utilise plusieurs interfaces réseau élastiques (ENI) ou adaptateurs Elastic Fabric (EFA). Ce contrôle passe si un seul adaptateur réseau est utilisé. Le contrôle inclut une liste de paramètres facultatifs pour identifier les ENI autorisés. Ce contrôle échoue également si une instance EC2 appartenant à un cluster Amazon EKS utilise plusieurs ENI. Si vos instances EC2 doivent disposer de plusieurs ENI dans le cadre d'un cluster Amazon EKS, vous pouvez supprimer ces résultats de contrôle.

Plusieurs ENI peuvent provoquer des instances à double hébergement, c'est-à-dire des instances dotées de plusieurs sous-réseaux. Cela peut accroître la complexité de la sécurité du réseau et introduire des chemins et des accès réseau non intentionnels.

Correction

Pour détacher une interface réseau d'une instance EC2, consultez la section Détacher une interface réseau d'une instance dans le Guide de l'utilisateur Amazon EC2 pour les instances Linux.

[EC2.18] Les groupes de sécurité ne devraient autoriser le trafic entrant illimité que pour les ports autorisés

Exigences connexes : NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (5)

Catégorie : Protection > Configuration réseau sécurisée > Configuration du groupe de sécurité

Gravité : Élevée

Type de ressource : AWS::EC2::SecurityGroup

Règle AWS Config : vpc-sg-open-only-to-authorized-ports

Type de calendrier : changement déclenché

Paramètres :

  • authorizedTcpPorts(Facultatif) — Liste séparée par des virgules des ports auxquels un accès illimité est autorisé. Par exemple : '80, 443'. Pour cette règle, les valeurs par défaut pour authorizedTcpPorts sont 80 et 443.

Ce contrôle vérifie si les groupes de sécurité utilisés autorisent le trafic entrant sans restriction. La règle vérifie éventuellement si les numéros de port sont répertoriés dans le authorizedTcpPorts paramètre.

  • Si le numéro de port de la règle du groupe de sécurité autorise le trafic entrant sans restriction, mais que le numéro de port est spécifié dansauthorizedTcpPorts, le contrôle est transféré. La valeur par défaut de authorizedTcpPorts est 80, 443.

  • Si le numéro de port de la règle du groupe de sécurité autorise le trafic entrant sans restriction, mais que le numéro de port n'est pas spécifié dans le paramètre authorizedTcpPorts d'entrée, le contrôle échoue.

  • Si le paramètre n'est pas utilisé, le contrôle échoue pour tous les groupes de sécurité dotés d'une règle d'entrée illimitée.

Les groupes de sécurité fournissent un filtrage dynamique du trafic réseau entrant et sortant vers. AWS Les règles des groupes de sécurité doivent respecter le principe de l'accès le moins privilégié. L'accès illimité (adresse IP avec le suffixe /0) augmente les risques d'activités malveillantes telles que le piratage, les denial-of-service attaques et la perte de données.

À moins qu'un port ne soit spécifiquement autorisé, le port doit refuser un accès illimité.

Correction

Pour modifier un groupe de sécurité, consultez la section Ajouter, supprimer ou mettre à jour des règles dans le guide de l'utilisateur Amazon VPC.

[EC2.19] Les groupes de sécurité ne doivent pas autoriser un accès illimité aux ports présentant un risque élevé

Exigences connexes : NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2), NIST.800-53.R5 CM-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (5)

Catégorie : Protéger > Accès réseau restreint

Gravité : Critique

Type de ressource : AWS::EC2::SecurityGroup

AWS Configrègle : vpc-sg-restricted-common-ports (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si le trafic entrant non restreint pour les groupes de sécurité est accessible aux ports spécifiés présentant le risque le plus élevé. Ce contrôle échoue si l'une des règles d'un groupe de sécurité autorise le trafic entrant depuis « 0.0.0.0/0 » ou « : :/0» pour ces ports.

L'accès illimité (0.0.0.0/0) augmente les risques d'activités malveillantes, telles que le piratage, les denial-of-service attaques et la perte de données.

Les groupes de sécurité autorisent le filtrage avec état du trafic réseau entrant et sortant vers des ressources AWS. Aucun groupe de sécurité ne doit autoriser un accès d'entrée illimité aux ports suivants :

  • 20, 21 (FTP)

  • 22 (SSH)

  • 23 (Telnet)

  • 25 (SMTP)

  • 110 (POP 3)

  • 135 (PIÈCE)

  • 143 (CARTE)

  • 445 (CHIFFRES)

  • 1433, 1434 (MSSQL)

  • 3000 (frameworks de développement Web Go, Node.js et Ruby)

  • 3306 (MySQL)

  • 3389 (RDP)

  • 433 (ahsp)

  • 5000 (frameworks de développement Web en Python)

  • 5432 (postgresql)

  • 5500 (fcp-addr-srvr1)

  • 5601 (OpenSearch Tableaux de bord)

  • 8080 (proxy)

  • 8088 (ancien port HTTP)

  • 8888 (port HTTP alternatif)

  • 9200 ou 9300 () OpenSearch

Correction

Pour supprimer des règles d'un groupe de sécurité, consultez la section Supprimer des règles d'un groupe de sécurité dans le Guide de l'utilisateur Amazon EC2 pour les instances Linux.

[EC2.20] Les deux tunnels VPN pour une connexion VPN de AWS site à site devraient être actifs

Exigences connexes : NIST.800-53.R5 CP-10, NIST.800-53.R5 CP-6 (2), NIST.800-53.R5 SC-36, NIST.800-53.R5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

Catégorie : Résilience > Restauration > Haute disponibilité

Gravité : Moyenne

Type de ressource : AWS::EC2::VPNConnection

Règle AWS Config : vpc-vpn-2-tunnels-up

Type de calendrier : changement déclenché

Paramètres : Aucun

Un tunnel VPN est un lien crypté par lequel les données peuvent être transmises depuis le réseau du client vers ou depuis une AWS connexion AWS VPN Site-to-Site. Chaque connexion VPN comprend deux tunnels VPN que vous pouvez utiliser simultanément pour une haute disponibilité. Il est important de s'assurer que les deux tunnels VPN sont prêts pour une connexion VPN afin de confirmer une connexion sécurisée et hautement disponible entre un AWS VPC et votre réseau distant.

Ce contrôle vérifie que les deux tunnels VPN fournis par AWS Site-to-Site VPN sont en état UP. Le contrôle échoue si l'un ou les deux tunnels sont en panne.

Correction

Pour modifier les options du tunnel VPN, consultez la section Modification des options du tunnel VPN de site à site dans le guide de l'utilisateur du VPN de site à site. AWS

[EC2.21] Les ACL réseau ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389

Exigences connexes : CIS AWS Foundations Benchmark v1.4.0/5.1, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2), NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (5)

Catégorie : Protection > Configuration réseau sécurisée

Gravité : Moyenne

Type de ressource : AWS::EC2::NetworkAcl

Règle AWS Config : nacl-no-unrestricted-ssh-rdp

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si une liste de contrôle d'accès réseau (NACL) autorise un accès illimité aux ports TCP par défaut pour le trafic entrant SSH/RDP. La règle échoue si une entrée entrante NACL autorise un bloc CIDR source de '0.0.0.0/0' ou ': :/0' pour les ports TCP 22 ou 3389.

L'accès aux ports d'administration du serveur distant, tels que le port 22 (SSH) et le port 3389 (RDP), ne doit pas être accessible au public, car cela peut permettre un accès involontaire aux ressources de votre VPC.

Correction

Pour plus d'informations sur les NACL, consultez la section ACL réseau dans le guide de l'utilisateur VPC.

[EC2.22] Les groupes de sécurité Amazon EC2 inutilisés doivent être supprimés

Important

OBSOLÈTE — Security Hub a supprimé ce contrôle le 20 septembre 2023 de la norme AWS Foundational Security Best Practices et de la norme NIST SP 800-53 Rev. 5. Ce AWS contrôle produit un résultat positif si des groupes de sécurité sont attachés à des instances EC2 ou à une interface elastic network. Toutefois, dans certains cas d'utilisation, les groupes de sécurité indépendants ne présentent aucun risque de sécurité. Vous pouvez utiliser d'autres contrôles EC2, tels que EC2.2, EC2.13, EC2.14, EC2.18 et EC2.19, pour surveiller vos groupes de sécurité.

Catégorie : Identifier - Inventaire

Gravité : Moyenne

Type de ressource :AWS::EC2::NetworkInterface, AWS::EC2::SecurityGroup

Règle AWS Config : ec2-security-group-attached-to-eni-periodic

Type de calendrier : Périodique

Paramètres : Aucun

Ce AWS contrôle vérifie que les groupes de sécurité sont attachés aux instances Amazon Elastic Compute Cloud (Amazon EC2) ou à une interface réseau élastique. Le contrôle échouera si le groupe de sécurité n'est pas associé à une instance Amazon EC2 ou à une interface Elastic Network Interface.

Correction

Pour créer, attribuer et supprimer des groupes de sécurité, consultez le guide de l'utilisateur Amazon EC2 sur les groupes de sécurité.

[EC2.23] Les passerelles de transit Amazon EC2 ne doivent pas accepter automatiquement les demandes de pièces jointes VPC

Exigences connexes : NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-2

Catégorie : Protéger - Configuration réseau sécurisée

Gravité : Élevée

Type de ressource : AWS::EC2::TransitGateway

Règle AWS Config : ec2-transit-gateway-auto-vpc-attach-disabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si les passerelles de transit EC2 acceptent automatiquement les pièces jointes VPC partagées. Ce contrôle échoue pour une passerelle de transit qui accepte automatiquement les demandes de pièces jointes VPC partagées.

L'activation AutoAcceptSharedAttachments configure une passerelle de transit pour qu'elle accepte automatiquement toutes les demandes de pièce jointe VPC entre comptes sans vérifier la demande ou le compte d'origine de la pièce jointe. Pour suivre les meilleures pratiques en matière d'autorisation et d'authentification, nous vous recommandons de désactiver cette fonctionnalité afin de garantir que seules les demandes de pièces jointes VPC autorisées sont acceptées.

Correction

Pour modifier une passerelle de transit, consultez la section Modifier une passerelle de transit dans le manuel Amazon VPC Developer Guide.

[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés

Exigences connexes : NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2)

Catégorie : Identifier > Gestion des vulnérabilités, des correctifs et des versions

Gravité : Moyenne

Type de ressource : AWS::EC2::Instance

Règle AWS Config : ec2-paravirtual-instance-check

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si le type de virtualisation d'une instance EC2 est paravirtuel. Le contrôle échoue si le virtualizationType de l'instance EC2 est défini sur. paravirtual

Linux Amazon Machine Images (AMI) utilise l'un des deux types de virtualisation suivants : la virtualisation paravirtuelle (PV) ou la machine virtuelle matérielle (HVM). Les principales différences entre les AMI de virtualisation paravirtuelle ou virtualisation HVM résident dans leur façon de démarrer et leur capacité à tirer parti des extensions matérielles spéciales (UC, réseau et stockage) pour obtenir une meilleure performance.

Traditionnellement, les invités de virtualisation paravirtuelle avaient de meilleures performances que les invités HVM. A cause des améliorations de la virtualisation HVM et de la disponibilité des pilotes de virtualisation paravirtuelle pour les AMI HVM, ce n'est plus le cas. Pour plus d'informations, consultez les types de virtualisation des AMI Linux dans le guide de l'utilisateur Amazon EC2 pour les instances Linux.

Correction

Pour mettre à jour une instance EC2 vers un nouveau type d'instance, consultez Modifier le type d'instance dans le Guide de l'utilisateur Amazon EC2 pour les instances Linux.

[EC2.25] Les modèles de lancement Amazon EC2 ne doivent pas attribuer d'adresses IP publiques aux interfaces réseau

Exigences connexes : NIST.800-53.R5 AC-21, NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 AC-6, NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (20), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9)

Catégorie : Protéger > Configuration réseau sécurisée > Ressources non accessibles au public

Gravité : Élevée

Type de ressource : AWS::EC2::LaunchTemplate

Règle AWS Config : ec2-launch-template-public-ip-disabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si les modèles de lancement Amazon EC2 sont configurés pour attribuer des adresses IP publiques aux interfaces réseau lors du lancement. Le contrôle échoue si un modèle de lancement EC2 est configuré pour attribuer une adresse IP publique aux interfaces réseau ou si au moins une interface réseau possède une adresse IP publique.

Une adresse IP publique est une adresse accessible depuis Internet. Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau peuvent être accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela peut permettre un accès involontaire à vos charges de travail.

Correction

Pour mettre à jour un modèle de lancement EC2, consultez Modifier les paramètres de l'interface réseau par défaut dans le manuel Amazon EC2 Auto Scaling User Guide.

[EC2.28] Les volumes EBS doivent être couverts par un plan de sauvegarde

Catégorie : Restauration > Résilience > Sauvegardes activées

Exigences connexes : NIST.800-53.R5 CP-10, NIST.800-53.R5 CP-6, NIST.800-53.R5 CP-6 (1), NIST.800-53.R5 CP-6 (2), NIST.800-53.R5 CP-9, NIST.800-53.R5 (2), NIST.800-53.R5 SI-12, NIST.800-53.R5 SI-13 (5)

Gravité : Faible

Type de ressource : AWS::EC2::Volume

AWS Configrègle : ebs-resources-protected-by-backup-plan

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle évalue si les volumes Amazon EBS sont couverts par des plans de sauvegarde. Le contrôle échoue si un volume Amazon EBS n'est pas couvert par un plan de sauvegarde. Ce contrôle évalue uniquement les volumes Amazon EBS en état. in-use

Les sauvegardes vous aident à vous remettre plus rapidement en cas d'incident de sécurité. Ils renforcent également la résilience de vos systèmes. L'inclusion de volumes Amazon EBS dans un plan de sauvegarde vous permet de protéger vos données contre toute perte ou suppression involontaire.

Correction

Pour ajouter un volume Amazon EBS à un plan de AWS Backup sauvegarde, consultez la section Affectation de ressources à un plan de sauvegarde dans le Guide du AWS Backupdéveloppeur.

[EC2.29] Les instances EC2 doivent être lancées dans un VPC

Important

OBSOLÈTE — Security Hub a rendu ce contrôle obsolète et l'a retiré de toutes les normes le 20 septembre 2023. Amazon EC2 a migré des instances EC2-Classic vers un VPC.

Catégorie : Protection > Configuration réseau sécurisée > Ressources au sein du VPC

Exigences connexes : NIST.800-53.R5 AC-21, NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-4, NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 AC-6, NIST.800-53.R5 SC-7, NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 SC-7 (11), NIST.800-53.R5 800-53.R5 SC-7 (16), NIST.800-53.R5 SC-7 (20), NIST.800-53.R5 SC-7 (21), NIST.800-53.R5 SC-7 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-7 (9)

Gravité : Élevée

Type de ressource : AWS::EC2::Instance

AWS Configrègle : ec2-instances-in-vpc

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si les instances Amazon EC2 sont lancées dans un cloud privé virtuel (VPC). Ce contrôle échoue si une instance EC2 est lancée sur le réseau EC2-Classic.

Le réseau EC2-Classic a été retiré le 15 août 2022. Le modèle de réseau EC2-Classic était plat, avec des adresses IP publiques attribuées au moment du lancement. Le réseau EC2-VPC offre une évolutivité et des fonctionnalités de sécurité accrues et devrait être le réseau par défaut pour le lancement des instances EC2.

Correction

Pour migrer des instances vers le réseau EC2-VPC, consultez la section Migrer d'EC2-Classic vers un VPC dans le guide de l'utilisateur Amazon EC2 pour les instances Linux.