Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS Bonnes pratiques de sécurité fondamentales v1.0.0 () standard FSBP
La norme des meilleures pratiques de sécurité AWS fondamentales est un ensemble de contrôles qui détectent les cas où vous Comptes AWS et vos ressources dérogerez aux meilleures pratiques de sécurité.
La norme vous permet d'évaluer en permanence l'ensemble de vos charges Comptes AWS de travail afin d'identifier rapidement les domaines où les meilleures pratiques ne sont pas respectées. Il fournit des conseils pratiques et prescriptifs sur la manière d'améliorer et de maintenir le niveau de sécurité de votre organisation.
Les contrôles incluent les meilleures pratiques de sécurité pour les ressources provenant de plusieurs sources Services AWS. Chaque contrôle se voit également attribuer une catégorie qui reflète la fonction de sécurité à laquelle il s'applique. Pour de plus amples informations, veuillez consulter Liste des catégories de contrôle dans Security Hub.
Contrôles applicables à la FSBP norme
[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS
[ACM.1] Les certificats importés et ACM émis doivent être renouvelés après une période spécifiée
[ACM.2] RSA les certificats gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits
[APIGateway.3] REST API Les étapes de API passerelle devraient avoir AWS X-Ray suivi activé
[APIGateway.4] La API passerelle doit être associée à un WAF site Web ACL
[APIGateway.5] Les données REST API du cache de la API passerelle doivent être chiffrées au repos
[APIGateway.8] Les routes de API passerelle doivent spécifier un type d'autorisation
[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2
[AppSync2] AWS AppSync la journalisation au niveau du champ doit être activée
[AppSync0,5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés API
[Athena.4] La journalisation des groupes de travail Athena doit être activée
[AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité
[Sauvegarde.1] AWS Backup les points de récupération doivent être chiffrés au repos
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
[CloudFront.6] les CloudFront distributions auraient dû activer WAF
[CloudFront.7] les CloudFront distributions doivent utiliser des certificatsSSL/TLSpersonnalisés
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé
[CloudTrail.4] La validation du fichier CloudTrail journal doit être activée
[CloudTrail.5] les CloudTrail sentiers doivent être intégrés à Amazon CloudWatch Logs
[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés
[CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos
[DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos
[DataSync.1] la journalisation DataSync des tâches doit être activée
[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques
[DMS.9] les DMS points de terminaison doivent utiliser SSL
[DMS.12] les DMS points de terminaison pour Redis auraient dû être activés OSS TLS
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
[DynamoDB.1] Les tables DynamoDB doivent automatiquement adapter la capacité à la demande
[DynamoDB.2] La restauration des tables DynamoDB doit être activée point-in-time
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
[DynamoDB.6] La protection contre la suppression des tables DynamoDB doit être activée
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit
[EC2.1] Les EBS instantanés Amazon ne doivent pas être restaurables publiquement
[EC2.2] les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant
[EC2.3] Les EBS volumes Amazon joints doivent être chiffrés au repos
[EC2.4] Les EC2 instances arrêtées doivent être supprimées après une période spécifiée
[EC2.6] la journalisation des VPC flux doit être activée dans tous VPCs
[EC2.7] le chiffrement EBS par défaut doit être activé
[EC2.8] EC2 les instances doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2
[EC2.9] EC2 Les instances Amazon ne doivent pas avoir d'adresse publique IPv4
[EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées
[EC2.17] Les EC2 instances Amazon ne doivent pas utiliser plusieurs ENIs
[EC2.20] Les deux VPN tunnels pour un AWS La VPN connexion site à site devrait être active
[EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés
[ECR.1] la numérisation des images doit être configurée dans les référentiels ECR privés
[ECR.2] l'immuabilité des balises doit être configurée dans les référentiels ECR privés
[ECR.3] ECR les référentiels doivent avoir au moins une politique de cycle de vie configurée
[ECS.2] ECS aucune adresse IP publique ne doit être attribuée automatiquement aux services
[ECS.4] les ECS conteneurs doivent fonctionner comme des conteneurs non privilégiés
[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur
[ECS.9] les définitions de ECS tâches doivent avoir une configuration de journalisation
[ECS.12] les ECS clusters doivent utiliser Container Insights
[EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde
[EFS.3] les points EFS d'accès doivent appliquer un répertoire racine
[EFS.4] les points EFS d'accès doivent renforcer l'identité de l'utilisateur
[EFS.6] Les cibles de EFS montage ne doivent pas être associées à un sous-réseau public
[EFS.7] les sauvegardes automatiques doivent être activées sur les systèmes de EFS fichiers
[EKS.1] les points de terminaison EKS du cluster ne doivent pas être accessibles au public
[EKS.2] les EKS clusters doivent fonctionner sur une version de Kubernetes prise en charge
[EKS.3] les EKS clusters doivent utiliser des secrets Kubernetes chiffrés
[EKS.8] la journalisation des audits doit être activée sur les EKS clusters
[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos
[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
[ELB.3] Les écouteurs Classic Load Balancer doivent être configurés avec ou sans arrêt HTTPS TLS
[ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP non valides
[ELB.7] Le drainage des connexions doit être activé sur les équilibreurs de charge classiques
[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité
[EMR.1] Les nœuds principaux EMR du cluster Amazon ne doivent pas avoir d'adresses IP publiques
[EMR.2] Le paramètre de EMR blocage de l'accès public d'Amazon doit être activé
[ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch
[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public
[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds
[ES.5] La journalisation des audits doit être activée dans les domaines Elasticsearch
[ES.6] Les domaines Elasticsearch doivent comporter au moins trois nœuds de données
[ES.7] Les domaines Elasticsearch doivent être configurés avec au moins trois nœuds maîtres dédiés
[Colle.2] AWS Glue la journalisation des tâches doit être activée
[Colle.3] AWS Glue les transformations de machine learning doivent être cryptées au repos
[GuardDuty.1] GuardDuty doit être activé
[GuardDuty.5] La surveillance du journal GuardDuty EKS d'audit doit être activée
[GuardDuty.6] La protection GuardDuty Lambda doit être activée
[GuardDuty.7] La surveillance du GuardDuty EKS temps d'exécution doit être activée
[GuardDuty.8] La protection contre les GuardDuty programmes malveillants EC2 doit être activée
[GuardDuty.9] GuardDuty RDS La protection doit être activée
[GuardDuty.10] La protection GuardDuty S3 doit être activée
[IAM.1] IAM les politiques ne doivent pas autoriser tous les privilèges administratifs « * »
[IAM.2] aucune IAM politique ne doit être attachée aux IAM utilisateurs
[IAM.3] Les clés d'accès IAM des utilisateurs doivent être renouvelées tous les 90 jours ou moins
[IAM.4] IAM La clé d'accès de l'utilisateur root ne doit pas exister
[IAM.5] MFA doit être activé pour tous les IAM utilisateurs disposant d'un mot de passe de console
[IAM.6] Le matériel MFA doit être activé pour l'utilisateur root
[IAM.8] Les informations IAM d'identification utilisateur non utilisées doivent être supprimées
[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée
[Inspector.2] La ECR numérisation Amazon Inspector doit être activée
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé
[Kinesis.1] Les flux Kinesis doivent être chiffrés au repos
[Kinesis.3] Les flux Kinesis doivent avoir une période de conservation des données adéquate
[KMS.3] AWS KMS keys ne doit pas être supprimé par inadvertance
[Lambda.1] Les politiques relatives à la fonction Lambda devraient interdire l'accès public
[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge
[Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité
[Macie.1] Amazon Macie devrait être activé
[Macie.2] La découverte automatique des données sensibles par Macie doit être activée
[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch
[MQ.3] Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures
[MSK.1] les MSK clusters doivent être chiffrés lors du transit entre les nœuds du courtier
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
[Neptune.7] L'authentification de base de données des clusters Neptune doit être activée IAM
[NetworkFirewall.2] La journalisation du Network Firewall doit être activée
[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide
Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]
Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public
[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds
La journalisation des audits doit être activée OpenSearch dans les domaines [Opensearch.5]
Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données
Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé
Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée
[PCA.1] AWS Private CA l'autorité de certification racine doit être désactivée
[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS
[RDS.1] L'RDSinstantané doit être privé
[RDS.3] Le chiffrement au repos doit être activé sur les RDS instances de base de données
[RDS.6] Une surveillance améliorée doit être configurée pour les RDS instances de base de données
[RDS.7] la protection contre la suppression des RDS clusters doit être activée
[RDS.8] La protection contre la suppression des RDS instances de base de données doit être activée
[RDS.9] Les RDS instances de base de données doivent publier les journaux dans Logs CloudWatch
[RDS.10] IAM l'authentification doit être configurée pour les instances RDS
[RDS.11] les sauvegardes automatiques doivent être activées sur les RDS instances
[RDS.12] IAM l'authentification doit être configurée pour les clusters RDS
[RDS.13] les mises à niveau RDS automatiques des versions mineures doivent être activées
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
[RDS.18] RDS les instances doivent être déployées dans un VPC
[RDS.23] les RDS instances ne doivent pas utiliser le port par défaut du moteur de base de données
[RDS.27] Les clusters de RDS base de données doivent être chiffrés au repos
[RDS.34] Les clusters Aurora My SQL DB doivent publier les journaux d'audit dans Logs CloudWatch
[Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public
[Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit
[Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift
[Redshift.4] La journalisation des audits doit être activée sur les clusters Amazon Redshift
[Redshift.7] Les clusters Redshift doivent utiliser un routage amélioré VPC
[Redshift.9] Les clusters Redshift ne doivent pas utiliser le nom de base de données par défaut
[Redshift.10] Les clusters Redshift doivent être chiffrés au repos
[S3.2] Les compartiments à usage général S3 devraient bloquer l'accès public à la lecture
[S3.3] Les compartiments à usage général S3 devraient bloquer l'accès public en écriture
[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation SSL
[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public
[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie
[S3.19] Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3
[SecretsManager.1] La rotation automatique des secrets de Secrets Manager doit être activée
[SecretsManager.3] Supprimer les secrets inutilisés du Gestionnaire de Secrets Manager
[SecretsManager.4] Les secrets de Secrets Manager doivent être renouvelés dans un délai spécifié
[SQS.1] Les SQS files d'attente Amazon doivent être chiffrées au repos
[SSM.1] EC2 Les instances Amazon doivent être gérées par AWS Systems Manager
[SSM.4] SSM les documents ne doivent pas être publics
[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée
[WAF.1] AWS WAF La ACL journalisation Web globale classique doit être activée
[WAF2] AWS WAF Les règles régionales classiques doivent comporter au moins une condition
[WAF.3] AWS WAF Les groupes de règles régionaux classiques doivent avoir au moins une règle
[WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition
[WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle
[WAF0,10] AWS WAF le Web ACLs doit comporter au moins une règle ou un groupe de règles
[WAF.12] AWS WAF les règles doivent avoir CloudWatch les métriques activées
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos