Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Institut national des normes et de la technologie (NIST) SP 800-53 Rev. 5
Le NIST SP 800-53 Rev. 5 est un cadre de cybersécurité et de conformité développé par le National Institute of Standards and Technology (NIST), une agence qui fait partie du département du commerce des États-Unis. Ce cadre de conformité vous aide à protéger la disponibilité, la confidentialité et l'intégrité de vos systèmes d'information et de vos ressources critiques. Les agences et sous-traitants du gouvernement fédéral américain doivent se conformer à la norme NIST SP 800-53 pour protéger leurs systèmes, mais les entreprises privées peuvent volontairement l'utiliser comme cadre directeur pour réduire les risques de cybersécurité.
Security Hub fournit des contrôles qui répondent à certaines exigences du NIST SP 800-53. Ces contrôles sont évalués par le biais de contrôles de sécurité automatisés. Les contrôles du Security Hub ne répondent pas aux exigences du NIST SP 800-53 qui nécessitent des vérifications manuelles. En outre, les contrôles Security Hub ne prennent en charge que les exigences automatisées du NIST SP 800-53 répertoriées sous la rubrique « Exigences associées » dans les détails de chaque contrôle. Choisissez un contrôle dans la liste suivante pour voir ses détails. Les exigences associées non mentionnées dans les détails du contrôle ne sont actuellement pas prises en charge par Security Hub.
Contrairement à d'autres frameworks, le NIST SP 800-53 n'est pas prescriptif quant à la manière dont ses exigences doivent être évaluées. Le framework fournit plutôt des directives, et les contrôles Security Hub NIST SP 800-53 indiquent que le service les comprend.
Si vous utilisez l'intégration de Security Hub AWS Organizations pour gérer de manière centralisée plusieurs comptes et que vous souhaitez activer par lots le NIST SP 800-53 sur chacun d'entre eux, vous pouvez exécuter un script multi-comptes Security Hub à partir du compte
Pour plus d'informations sur le NIST SP 800-53 Rev. 5, consultez le centre de ressources sur la sécurité informatique du NIST.
Contrôles applicables au NIST SP 800-53 Rev. 5
[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS
[Account.2] Comptes AWS doit faire partie d'une organisation AWS Organizations
[ACM.1] Les certificats importés et émis par ACM doivent être renouvelés après une période spécifiée
[APIGateway.3] Le suivi des étapes de l'API REST d'API Gateway doit être activé AWS X-Ray
[APIGateway.4] L'API Gateway doit être associée à une ACL Web WAF
[APIGateway.5] Les données du cache de l'API REST API Gateway doivent être chiffrées au repos
[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation
[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2
[AppSync.5] AWS AppSync Les API GraphQL ne doivent pas être authentifiées avec des clés d'API
[AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité
[Backup.1] les points AWS Backup de restauration doivent être chiffrés au repos
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage en transit
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
[CloudFront.6] WAF doit être activé sur les CloudFront distributions
[CloudFront.7] les CloudFront distributions doivent utiliser des certificats SSL/TLS personnalisés
[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé
[CloudTrail.4] La validation du fichier CloudTrail journal doit être activée
[CloudTrail.5] les CloudTrail sentiers doivent être intégrés à Amazon CloudWatch Logs
[CloudWatch.15] les CloudWatch alarmes doivent avoir des actions spécifiées configurées
[CloudWatch.17] les actions CloudWatch d'alarme doivent être activées
[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés
[DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos
[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques
[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL
[DMS.12] Le protocole TLS doit être activé sur les points de terminaison DMS de Redis
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
[DynamoDB.1] Les tables DynamoDB doivent automatiquement adapter la capacité à la demande
[DynamoDB.2] La restauration des tables DynamoDB doit être activée point-in-time
[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos
[DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde
[DynamoDB.6] La protection contre la suppression des tables DynamoDB doit être activée
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
[EC2.1] Les instantanés Amazon EBS ne doivent pas être restaurables publiquement
[EC2.2] Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant
[EC2.3] Les volumes Amazon EBS attachés doivent être chiffrés au repos
[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée
[EC2.6] La journalisation des flux VPC doit être activée dans tous les VPC
[EC2.7] Le chiffrement par défaut EBS doit être activé
[EC2.8] Les instances EC2 doivent utiliser le service de métadonnées d'instance version 2 (IMDSv2)
[EC2.9] Les instances Amazon EC2 ne doivent pas avoir d'adresse IPv4 publique
[EC2.12] Les EIP Amazon EC2 non utilisés doivent être supprimés
[EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées
[EC2.17] Les instances Amazon EC2 ne doivent pas utiliser plusieurs ENI
[EC2.20] Les deux tunnels VPN pour une connexion VPN de AWS site à site devraient être actifs
[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés
[EC2.28] Les volumes EBS doivent être couverts par un plan de sauvegarde
[ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR
[ECR.2] L'immuabilité des balises doit être configurée dans les référentiels privés ECR
[ECR.3] Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée
[ECS.2] Aucune adresse IP publique ne doit être attribuée automatiquement aux services ECS
[ECS.4] Les conteneurs ECS doivent fonctionner comme des conteneurs non privilégiés
[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur
[ECS.9] Les définitions de tâches ECS doivent avoir une configuration de journalisation
[ECS.12] Les clusters ECS doivent utiliser Container Insights
[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde
[EFS.3] Les points d'accès EFS devraient imposer un répertoire racine
[EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur
[EFS.6] Les cibles de montage EFS ne doivent pas être associées à un sous-réseau public
[EKS.1] Les points de terminaison du cluster EKS ne doivent pas être accessibles au public
[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge
[EKS.3] Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés
[EKS.8] La journalisation des audits doit être activée sur les clusters EKS
[ElastiCache.1] La sauvegarde automatique doit être activée sur les clusters ElastiCache Redis
[ElastiCache.4] ElastiCache pour Redis, les groupes de réplication doivent être chiffrés au repos
[ElastiCache.5] ElastiCache pour Redis, les groupes de réplication doivent être chiffrés en transit
[ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP
[ELB.7] Le drainage des connexions doit être activé sur les équilibreurs de charge classiques
[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité
[ELB.16] Les équilibreurs de charge d'application doivent être associés à une ACL Web AWS WAF
[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques
[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé
[ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch
[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public
[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds
[ES.5] La journalisation des audits doit être activée dans les domaines Elasticsearch
[ES.6] Les domaines Elasticsearch doivent comporter au moins trois nœuds de données
[ES.7] Les domaines Elasticsearch doivent être configurés avec au moins trois nœuds maîtres dédiés
[GuardDuty.1] GuardDuty doit être activé
[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « * » complets
[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM
[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins
[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister
[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine
[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées
[IAM.9] La MFA doit être activée pour l'utilisateur root
[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM
[Kinesis.1] Les flux Kinesis doivent être chiffrés au repos
[KMS.3] ne AWS KMS keys doit pas être supprimé par inadvertance
La rotation des AWS KMS touches [KMS.4] doit être activée
[Lambda.1] Les politiques relatives à la fonction Lambda devraient interdire l'accès public
[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge
[Lambda.3] Les fonctions Lambda doivent se trouver dans un VPC
[Lambda.5] Les fonctions Lambda VPC doivent fonctionner dans plusieurs zones de disponibilité
[Macie.1] Amazon Macie devrait être activé
[Macie.2] La découverte automatique des données sensibles par Macie doit être activée
[MSK.1] Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du broker
[MSK.2] La surveillance améliorée des clusters MSK doit être configurée
[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch
[MQ.3] Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures
[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode de déploiement actif/en veille
[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
[NetworkFirewall.2] La journalisation du Network Firewall doit être activée
[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide
Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]
Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public
[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds
La journalisation des audits doit être activée OpenSearch dans les domaines [Opensearch.5]
Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données
Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé
Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée
[Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés
[PCA.1] L'autorité de certification AWS Private CA racine doit être désactivée
[RDS.1] L'instantané RDS doit être privé
[RDS.3] Le chiffrement au repos doit être activé pour les instances DB RDS
[RDS.6] Une surveillance améliorée doit être configurée pour les instances de base de données RDS
[RDS.7] La protection contre la suppression des clusters RDS doit être activée
[RDS.8] La protection contre la suppression des instances de base de données RDS doit être activée
[RDS.9] Les instances de base de données RDS doivent publier des journaux dans Logs CloudWatch
[RDS.10] L'authentification IAM doit être configurée pour les instances RDS
[RDS.11] Les sauvegardes automatiques doivent être activées sur les instances RDS
[RDS.12] L'authentification IAM doit être configurée pour les clusters RDS
[RDS.13] Les mises à niveau automatiques des versions mineures de RDS devraient être activées
[RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora
[RDS.18] Les instances RDS doivent être déployées dans un VPC
[RDS.23] Les instances RDS ne doivent pas utiliser le port par défaut d'un moteur de base de données
[RDS.26] Les instances de base de données RDS doivent être protégées par un plan de sauvegarde
[RDS.27] Les clusters de base de données RDS doivent être chiffrés au repos
[Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public
[Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit
[Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift
[Redshift.4] La journalisation des audits doit être activée sur les clusters Amazon Redshift
[Redshift.7] Les clusters Redshift doivent utiliser un routage VPC amélioré
[Redshift.9] Les clusters Redshift ne doivent pas utiliser le nom de base de données par défaut
[Redshift.10] Les clusters Redshift doivent être chiffrés au repos
[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
[S3.2] Les compartiments à usage général S3 devraient bloquer l'accès public à la lecture
[S3.3] Les compartiments à usage général S3 devraient bloquer l'accès public en écriture
[S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions
[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public
[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie
[S3.14] La gestion des versions des compartiments S3 à usage général devrait être activée
[S3.15] Object Lock doit être activé dans les compartiments S3 à usage général
[S3.17] Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys
[S3.19] Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3
[S3.20] La suppression MFA des compartiments S3 à usage général doit être activée
[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé
[SecretsManager.1] La rotation automatique des secrets de Secrets Manager doit être activée
[SecretsManager.3] Supprimer les secrets inutilisés du Gestionnaire de Secrets Manager
[SecretsManager.4] Les secrets de Secrets Manager doivent être renouvelés dans un délai spécifié
[SNS.1] Les sujets SNS doivent être chiffrés au repos à l'aide de AWS KMS
[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos
[SSM.1] Les instances Amazon EC2 doivent être gérées par AWS Systems Manager
[SSM.4] Les documents du SSM ne doivent pas être publics
[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée
[WAF.2] Les règles régionales AWS WAF classiques doivent comporter au moins une condition
[WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle
[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition
[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle
[WAF.10] Les ACL AWS WAF Web doivent avoir au moins une règle ou un groupe de règles
[WAF.11] La journalisation des ACL AWS WAF Web doit être activée
Les AWS WAF règles [WAF.12] doivent avoir des métriques activées CloudWatch