Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Référence des contrôles du Security Hub
Cette référence de contrôles fournit une liste des commandes disponiblesAWS Security Hubcontrôles avec des liens vers des informations supplémentaires sur chaque contrôle. Le tableau récapitulatif affiche les contrôles par ordre alphabétique par ID de contrôle. Le tableau fournit les informations suivantes pour chaque contrôle :
-
ID de contrôle de sécurité— Cet identifiant s'applique à toutes les normes et indiqueService AWSet la ressource à laquelle le contrôle se rapporte. La console Security Hub affiche les identifiants de contrôle de sécurité, querésultats de contrôle consolidésest activé ou désactivé sur votre compte. Toutefois, les résultats du Security Hub font référence aux identifiants de contrôle de sécurité uniquement si les résultats de contrôle consolidés sont activés dans votre compte. Si les résultats de contrôle consolidés sont désactivés dans votre compte, les résultats de Security Hub font référence à des identifiants de contrôle spécifiques à la norme.
-
Normes applicables— Indique à quelles normes s'applique un contrôle. Sélectionnez un contrôle pour voir les exigences spécifiques des cadres de conformité tiers.
-
Titre du contrôle de sécurité— Ce titre s'applique à toutes les normes. La console Security Hub affiche les titres des contrôles de sécurité, querésultats de contrôle consolidésest activé ou désactivé sur votre compte. Toutefois, les résultats du Security Hub font référence aux titres des contrôles de sécurité uniquement si les résultats des contrôles consolidés sont activés dans votre compte. Si les résultats de contrôle consolidés sont désactivés dans votre compte, les résultats de Security Hub font référence à des titres de contrôle spécifiques à la norme.
-
Gravité— La sévérité d'un contrôle détermine son importance du point de vue de la sécurité. Pour plus d'informations sur la manière dont Security Hub détermine la sévérité des contrôles, voirAttribuer un degré de gravité aux résultats du contrôle.
-
Type de calendrier— Indique à quel moment le contrôle est évalué. Pour plus d'informations, veuillez consulter Planification de l'exécution des vérifications de sécurité.
Sélectionnez un contrôle pour afficher plus de détails. Les commandes sont répertoriées par ordre alphabétique du nom du service.
Note
Vue consolidée des commandesetrésultats de contrôle consolidésne sont pas pris en charge dansAWS GovCloud (US) Regionet régions de Chine. Dans ces régions, les identifiants de contrôle et les titres restent les mêmes et peuvent faire référence à des informations spécifiques à la norme. Pour obtenir la liste des identifiants de contrôle et des titres dans ces régions, voirL'impact de la consolidation sur les identifiants de contrôle et les titres.
| ID de contrôle de sécurité | Titre du contrôle de sécurité | Normes applicables | Sévérité | Type de calendrier |
|---|---|---|---|---|
|
Les informations de sécurité doivent être fournies pour unCompte AWS |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Périodique |
|
|
Compte AWSdevrait faire partie d'unAWS Organizationsorganisation |
NIST SP 800-53 Rév. 5 |
ÉLEVÉ |
Périodique |
|
|
Les certificats importés et émis par l'ACM doivent être renouvelés après une période spécifiée |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Changement déclenché et périodique |
|
|
Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits |
AWSBonnes pratiques de sécurité de base v1.0.0 |
ÉLEVÉ |
Modification déclenchée |
|
|
API Gateway REST etWebSocketLa journalisation de l'exécution de l'API doit être activée |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Les étapes de l'API REST d'API Gateway doivent être configurées pour utiliser des certificats SSL pour l'authentification principale |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Les étapes de l'API REST d'API Gateway doivent avoirAWS X-Raytraçage activé |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
BAS |
Modification déclenchée |
|
|
La passerelle d'API doit être associée à une ACL Web WAF |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Les données du cache de l'API REST d'API Gateway doivent être cryptées au repos |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Les routes d'API Gateway doivent spécifier un type d'autorisation |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Périodique |
|
|
La journalisation des accès doit être configurée pour les étapes V2 d'API Gateway |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
AWS AppSyncla journalisation au niveau de la demande et au niveau du champ doit être activée |
AWSBonnes pratiques de sécurité de base v1.0.0 |
MOYEN |
Modification déclenchée |
|
|
Les groupes de travail Athena doivent être chiffrés au repos |
AWSBonnes pratiques de sécurité de base v1.0.0 |
MOYEN |
Modification déclenchée |
|
|
Les groupes de mise à l'échelle automatique associés à un équilibreur de charge classique doivent utiliser des contrôles de santé de l'équilibreur de charge |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rév. 5 |
BAS |
Modification déclenchée |
|
|
Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Les configurations de lancement de groupe Auto Scaling doivent configurer les instances EC2 pour nécessiter le service de métadonnées d'instance version 2 (IMDSv2) |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
ÉLEVÉ |
Modification déclenchée |
|
|
La configuration de lancement du groupe Auto Scaling ne doit pas avoir une limite de saut de réponse aux métadonnées supérieure à 1 |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
ÉLEVÉ |
Modification déclenchée |
|
|
Les instances Amazon EC2 lancées à l'aide des configurations de lancement de groupe Auto Scaling ne doivent pas avoir d'adresses IP publiques |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
ÉLEVÉ |
Modification déclenchée |
|
|
Les groupes Auto Scaling doivent utiliser plusieurs types d'instances dans plusieurs zones de disponibilité |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Les groupes EC2 Auto Scaling doivent utiliser des modèles de lancement EC2 |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
CloudFormationles piles doivent être intégrées à Simple Notification Service (SNS) |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
BAS |
Modification déclenchée |
|
|
CloudFrontles distributions doivent avoir un objet racine par défaut configuré |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
CRITIQUE |
Modification déclenchée |
|
|
CloudFrontl'identité d'accès à l'origine doit être activée pour les distributions |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
MOYEN |
Modification déclenchée |
|
|
CloudFrontles distributions doivent nécessiter un cryptage en transit |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
MOYEN |
Modification déclenchée |
|
|
CloudFrontle basculement d'origine doit être configuré pour les distributions |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
BAS |
Modification déclenchée |
|
|
CloudFrontla journalisation doit être activée pour les distributions |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
MOYEN |
Changement déclenché |
|
|
CloudFrontles distributions doivent avoir activé WAF |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
MOYEN |
Changement déclenché |
|
|
CloudFrontles distributions doivent utiliser des certificats SSL/TLS personnalisés |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
MOYEN |
Changement déclenché |
|
|
CloudFrontles distributions doivent utiliser le SNI pour répondre aux requêtes HTTPS |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
BAS |
Changement déclenché |
|
|
CloudFrontles distributions doivent crypter le trafic vers des origines personnalisées |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
MOYEN |
Changement déclenché |
|
|
CloudFrontles distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
MOYEN |
Changement déclenché |
|
|
CloudFrontles distributions ne doivent pas pointer vers des origines S3 inexistantes |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
ÉLEVÉ |
Périodique |
|
|
CloudFrontles distributions doivent utiliser le contrôle d'accès d'origine |
AWSBonnes pratiques de sécurité de base v1.0.0 |
MOYEN |
Changement déclenché |
|
|
CloudTraildoit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion des lectures et des écritures |
CISAWSFoundations Benchmark v1.2.0, CISAWSFoundations Benchmark v1.4.0,AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
ÉLEVÉ |
Périodique |
|
|
CloudTraille chiffrement au repos doit être activé |
CISAWSFoundations Benchmark v1.2.0,AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, PCI DSS v3.2.1, CISAWSFondements Benchmark v1.4.0, NIST SP 800-53 Rév. 5 |
MOYEN |
Périodique |
|
|
CloudTraildoit être activé |
PCI DSS v3.2.1 |
ÉLEVÉ |
Périodique |
|
|
CloudTrailla validation du fichier journal doit être activée |
CISAWSFoundations Benchmark v1.2.0,AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, PCI DSS v3.2.1, CISAWSFondements Benchmark v1.4.0, NIST SP 800-53 Rév. 5 |
MOYEN |
Périodique |
|
|
CloudTrailles sentiers doivent être intégrés à AmazonCloudWatchJournaux |
CISAWSFoundations Benchmark v1.2.0,AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, PCI DSS v3.2.1, CISAWSFondements Benchmark v1.4.0, NIST SP 800-53 Rév. 5 |
BAS |
Périodique |
|
|
Assurez-vous que le compartiment S3 a été utilisé pour stockerCloudTrailles journaux ne sont pas accessibles au public |
CISAWSFoundations Benchmark v1.2.0, CISAWSFoundations Benchmark v1.4.0 |
CRITIQUE |
Changement déclenché et périodique |
|
|
Assurez-vous que la journalisation des accès au compartiment S3 est activée surCloudTrailSeau S3 |
CISAWSFoundations Benchmark v1.2.0, CISAWSFoundations Benchmark v1.4.0 |
BAS |
Périodique |
|
|
Un filtre de log et une alarme doivent exister pour l'utilisation de l'utilisateur « root » |
CISAWSFoundations Benchmark v1.2.0, PCI DSS v3.2.1, CISAWSFoundations Benchmark v1.4.0 |
BAS |
Périodique |
|
|
Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour les appels d'API non autorisés. |
CISAWSFoundations Benchmark v1.2.0 |
BAS |
Périodique |
|
|
Assurez-vous qu'un filtre de log et une alarme existent pour la connexion à la console de gestion sans MFA |
CISAWSFoundations Benchmark v1.2.0 |
BAS |
Périodique |
|
|
Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour les modifications de la politique IAM |
CISAWSFoundations Benchmark v1.2.0, CISAWSFoundations Benchmark v1.4.0 |
BAS |
Périodique |
|
|
Assurez-vous qu'un filtre de log et une alarme existent pourCloudTrailmodifications de configuration |
CISAWSFoundations Benchmark v1.2.0, CISAWSFoundations Benchmark v1.4.0 |
BAS |
Périodique |
|
|
Assurez-vous qu'un filtre de log et une alarme existent pourAWS Management Consoleéchecs d'authentification |
CISAWSFoundations Benchmark v1.2.0, CISAWSFoundations Benchmark v1.4.0 |
BAS |
Périodique |
|
|
Assurez-vous qu'un filtre de log et une alarme existent pour la désactivation ou la suppression planifiée des CMK créées par le client |
CISAWSFoundations Benchmark v1.2.0, CISAWSFoundations Benchmark v1.4.0 |
BAS |
Périodique |
|
|
Assurez-vous qu'un filtre de log et une alarme existent pour les modifications de la politique du bucket S3 |
CISAWSFoundations Benchmark v1.2.0, CISAWSFoundations Benchmark v1.4.0 |
BAS |
Périodique |
|
|
Assurez-vous qu'un filtre de log et une alarme existent pourAWS Configmodifications de configuration |
CISAWSFoundations Benchmark v1.2.0, CISAWSFoundations Benchmark v1.4.0 |
BAS |
Périodique |
|
|
Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour les modifications du groupe de sécurité |
CISAWSFoundations Benchmark v1.2.0, CISAWSFoundations Benchmark v1.4.0 |
BAS |
Périodique |
|
|
Assurez-vous qu'un filtre de log et une alarme existent pour les modifications apportées aux listes de contrôle d'accès réseau (NACL) |
CISAWSFoundations Benchmark v1.2.0, CISAWSFoundations Benchmark v1.4.0 |
BAS |
Périodique |
|
|
Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour les modifications apportées aux passerelles réseau |
CISAWSFoundations Benchmark v1.2.0, CISAWSFoundations Benchmark v1.4.0 |
BAS |
Périodique |
|
|
Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour les modifications de la table de routage |
CISAWSFoundations Benchmark v1.2.0, CISAWSFoundations Benchmark v1.4.0 |
BAS |
Périodique |
|
|
Assurez-vous qu'un filtre de log et une alarme existent pour les modifications du VPC |
CISAWSFoundations Benchmark v1.2.0, CISAWSFoundations Benchmark v1.4.0 |
BAS |
Périodique |
|
|
CloudWatchLes alarmes doivent avoir une action configurée pour |
NIST SP 800-53 Rév. 5 |
ÉLEVÉ |
Changement déclenché |
|
|
CloudWatchles groupes de journaux doivent être conservés pendant au moins un an |
NIST SP 800-53 Rév. 5 |
MOYEN |
Périodique |
|
|
CloudWatchles actions d'alarme doivent être activées |
NIST SP 800-53 Rév. 5 |
ÉLEVÉ |
Changement déclenché |
|
|
CodeBuild GitHubou les URL du référentiel source Bitbucket doivent utiliser OAuth |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rév. 5 |
CRITIQUE |
Changement déclenché |
|
|
CodeBuildles variables d'environnement du projet ne doivent pas contenir d'informations d'identification en texte clair |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rév. 5 |
CRITIQUE |
Changement déclenché |
|
|
CodeBuildLes journaux S3 doivent être chiffrés |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
BAS |
Changement déclenché |
|
|
CodeBuildles environnements de projet doivent avoir une configuration de journalisation |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Changement déclenché |
|
|
CodeBuildle mode privilégié ne doit pas être activé dans les environnements de projet |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
ÉLEVÉ |
Changement déclenché |
|
|
AWS Configdoit être activé |
CISAWSFoundations Benchmark v1.2.0,AWSBonnes pratiques de sécurité de base v1.0.0, PCI DSS v3.2.1, CISAWSFondements Benchmark v1.4.0, NIST SP 800-53 Rév. 5 |
MOYEN |
Périodique |
|
|
Les instances de réplication du service de migration de base de données ne doivent pas être publiques |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rév. 5 |
CRITIQUE |
Périodique |
|
|
Les clusters Amazon DocumentDB doivent être chiffrés au repos |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
Medium |
Changement déclenché |
|
|
Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
Medium |
Changement déclenché |
|
|
Les tables DynamoDB doivent automatiquement adapter leur capacité à la demande |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Périodique |
|
|
Les tables DynamoDB doivent comporterpoint-in-timerestauration activée |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Changement déclenché |
|
|
Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
MOYEN |
Périodique |
|
|
Les tables DynamoDB doivent être présentes dans un plan de sauvegarde |
NIST SP 800-53 Rév. 5 |
MOYEN |
Périodique |
|
|
Les instantanés EBS ne doivent pas être restaurables publiquement |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rév. 5 |
CRITIQUE |
Périodique |
|
|
Le groupe de sécurité par défaut du VPC ne doit pas autoriser le trafic entrant et sortant |
CISAWSFoundations Benchmark v1.2.0,AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, PCI DSS v3.2.1, CISAWSFondements Benchmark v1.4.0, NIST SP 800-53 Rév. 5 |
ÉLEVÉ |
Changement déclenché |
|
|
Les volumes EBS attachés doivent être chiffrés au repos |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Changement déclenché |
|
|
Les instances EC2 arrêtées doivent être supprimées après une période spécifiée |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Périodique |
|
|
La journalisation des flux VPC doit être activée dans tous les VPC |
CISAWSFoundations Benchmark v1.2.0,AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, PCI DSS v3.2.1, CISAWSFondements Benchmark v1.4.0, NIST SP 800-53 Rév. 5 |
MOYEN |
Périodique |
|
|
Le chiffrement par défaut EBS doit être activé |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, CISAWSFondements Benchmark v1.4.0, NIST SP 800-53 Rév. 5 |
MOYEN |
Périodique |
|
|
Les instances EC2 doivent utiliser le service de métadonnées d'instance version 2 (IMDSv2) |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
ÉLEVÉ |
Changement déclenché |
|
|
Les instances EC2 ne doivent pas avoir d'adresse IPv4 publique |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
ÉLEVÉ |
Changement déclenché |
|
|
Amazon EC2 doit être configuré pour utiliser les points de terminaison VPC créés pour le service Amazon EC2 |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Périodique |
|
|
Les EIP EC2 non utilisés doivent être supprimés |
PCI DSS v3.2.1, NIST SP 800-53 Rév. 5 |
BAS |
Changement déclenché |
|
|
Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 |
CISAWSBenchmark Foundations v1.2.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 |
ÉLEVÉ |
Changement déclenché |
|
|
Assurez-vous qu'aucun groupe de sécurité n'autorise l'entrée depuis 0.0.0.0/0 vers le port 3389 |
CISAWSFoundations Benchmark v1.2.0 |
ÉLEVÉ |
Changement déclenché |
|
|
Les sous-réseaux EC2 ne doivent pas attribuer automatiquement des adresses IP publiques |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Changement déclenché |
|
|
Les listes de contrôle d'accès réseau non utilisées doivent être supprimées |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
BAS |
Changement déclenché |
|
|
Les instances EC2 ne doivent pas utiliser plusieurs ENI |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
BAS |
Changement déclenché |
|
|
Les groupes de sécurité ne doivent autoriser le trafic entrant sans restriction que pour les ports autorisés |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
ÉLEVÉ |
Changement déclenché |
|
|
Les groupes de sécurité ne doivent pas autoriser un accès illimité aux ports présentant un risque élevé |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
CRITIQUE |
Changement déclenché |
|
|
Les deux tunnels VPN pour unAWSLa connexion VPN de site à site doit être active |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Changement déclenché |
|
|
Les ACL réseau ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389 |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, CISAWSFondements Benchmark v1.4.0, NIST SP 800-53 Rév. 5 |
MOYEN |
Changement déclenché |
|
|
Les groupes de sécurité EC2 non utilisés doivent être supprimés |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Périodique |
|
|
Les passerelles de transit EC2 ne doivent pas accepter automatiquement les demandes de rattachement d'un VPC |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
ÉLEVÉ |
Changement déclenché |
|
|
Les types d'instances paravirtuelles EC2 ne doivent pas être utilisés |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
MOYEN |
Changement déclenché |
|
|
Les modèles de lancement EC2 ne doivent pas attribuer d'adresses IP publiques aux interfaces réseau |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
ÉLEVÉ |
Changement déclenché |
|
|
Les volumes EBS doivent figurer dans un plan de sauvegarde |
NIST SP 800-53 Rév. 5 |
BAS |
Périodique |
|
|
Les instances EC2 doivent se trouver à l'intérieur d'un VPC |
NIST SP 800-53 Rév. 5 |
ÉLEVÉ |
Changement déclenché |
|
|
La numérisation d'images doit être configurée dans les référentiels privés ECR |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
ÉLEVÉ |
Périodique |
|
|
L'immuabilité des balises doit être configurée dans les référentiels privés ECR |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Changement déclenché |
|
|
Au moins une politique de cycle de vie doit être configurée pour les référentiels ECR |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Changement déclenché |
|
|
Les définitions de tâches Amazon ECS doivent comporter des modes réseau sécurisés et des définitions utilisateur. |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
ÉLEVÉ |
Changement déclenché |
|
|
Les adresses IP publiques ne doivent pas être attribuées automatiquement aux services ECS |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
ÉLEVÉ |
Changement déclenché |
|
|
Les définitions de tâches ECS ne doivent pas partager l'espace de noms des processus de l'hôte |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
ÉLEVÉ |
Changement déclenché |
|
|
Les conteneurs ECS doivent fonctionner en tant que conteneurs non privilégiés |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
ÉLEVÉ |
Changement déclenché |
|
|
Les conteneurs ECS doivent être limités à l'accès en lecture seule aux systèmes de fichiers racine |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
ÉLEVÉ |
Changement déclenché |
|
|
Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
ÉLEVÉ |
Changement déclenché |
|
|
Les services ECS Fargate doivent s'exécuter sur la dernière version de la plateforme Fargate |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Changement déclenché |
|
|
Les clusters ECS doivent utiliser Container Insights |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Changement déclenché |
|
|
Le système de fichiers Elastic doit être configuré pour crypter les données des fichiers au repos à l'aide deAWS KMS |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Périodique |
|
|
Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Périodique |
|
|
Les points d'accès EFS doivent appliquer un répertoire racine |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Changement déclenché |
|
|
Les points d'accès EFS doivent garantir l'identité de l'utilisateur |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Changement déclenché |
|
|
Les points de terminaison du cluster EKS ne doivent pas être accessibles au public |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
ÉLEVÉ |
Périodique |
|
|
Les clusters EKS doivent s'exécuter sur une version de Kubernetes prise en charge |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
ÉLEVÉ |
Changement déclenché |
|
|
ElastiCacheLa sauvegarde automatique doit être activée pour les clusters Redis |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
ÉLEVÉ |
Périodique |
|
|
ElastiCachepour les clusters de cache Redis, les mises à niveau automatiques des versions mineures doivent être activées |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
ÉLEVÉ |
Périodique |
|
|
ElastiCachele basculement automatique doit être activé pour les groupes de réplication |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
MOYEN |
Périodique |
|
|
ElastiCacheles groupes de réplication doivent avoirencryption-at-restactivé |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
MOYEN |
Périodique |
|
|
ElastiCacheles groupes de réplication doivent avoirencryption-in-transitactivé |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
MOYEN |
Périodique |
|
|
ElastiCacheRedis AUTH doit être activé pour les groupes de réplication des versions antérieures de Redis |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
MOYEN |
Périodique |
|
|
ElastiCacheles clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
ÉLEVÉ |
Périodique |
|
|
Les environnements Elastic Beanstalk doivent être dotés de rapports de santé améliorés |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
BAS |
Changement déclenché |
|
|
Les mises à jour de la plateforme gérée Elastic Beanstalk doivent être activées |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
ÉLEVÉ |
Changement déclenché |
|
|
Elastic Beanstalk doit diffuser les journaux versCloudWatch |
AWSBonnes pratiques de sécurité de base v1.0.0 |
ÉLEVÉ |
Changement déclenché |
|
|
L'équilibreur de charge d'application doit être configuré pour rediriger toutes les requêtes HTTP vers HTTPS |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rév. 5 |
MOYEN |
Périodique |
|
|
Les équilibreurs de charge classiques avec écouteurs SSL/HTTPS doivent utiliser un certificat fourni parAWS Certificate Manager |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Changement déclenché |
|
|
Les écouteurs Classic Load Balancer doivent être configurés avec une terminaison HTTPS ou TLS |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Changement déclenché |
|
|
L'équilibreur de charge d'application doit être configuré pour supprimer les en-têtes HTTP |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Changement déclenché |
|
|
La journalisation des applications et des équilibreurs de charge classiques doit être activée |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Changement déclenché |
|
|
La protection contre la suppression de l'équilibreur de charge d'applications doit être activée |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Changement déclenché |
|
|
Le drainage des connexions doit être activé sur les équilibreurs de charge classiques |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Changement déclenché |
|
|
Les équilibreurs de charge classiques avec écouteurs SSL doivent utiliser une politique de sécurité prédéfinie dotée d'une configuration robuste |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Changement déclenché |
|
|
L'équilibrage de charge entre zones doit être activé sur les équilibreurs de charge classiques |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Changement déclenché |
|
|
L'équilibreur de charge classique doit couvrir plusieurs zones de disponibilité |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Changement déclenché |
|
|
L'équilibreur de charge des applications doit être configuré avec le mode défensif ou le mode d'atténuation de la désynchronisation le plus strict |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Changement déclenché |
|
|
Les équilibreurs de charge des applications, du réseau et des passerelles doivent couvrir plusieurs zones de disponibilité |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Changement déclenché |
|
|
L'équilibreur de charge classique doit être configuré avec le mode défensif ou le mode d'atténuation de la désynchronisation le plus strict |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Changement déclenché |
|
|
Les équilibreurs de charge d'application doivent être associés àAWS WAFACL Web |
NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Amazon ElasticMapReduceles nœuds principaux du cluster ne doivent pas avoir d'adresses IP publiques |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
ÉLEVÉ |
Périodique |
|
|
Le chiffrement au repos doit être activé pour les domaines Elasticsearch |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rév. 5 |
MOYEN |
Périodique |
|
|
Les domaines Elasticsearch doivent se trouver dans un VPC |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rév. 5 |
CRITIQUE |
Périodique |
|
|
Les domaines Elasticsearch doivent crypter les données envoyées entre les nœuds |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Enregistrement des erreurs du domaine Elasticsearch dansCloudWatchLes journaux doivent être activés |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
La journalisation des audits doit être activée pour les domaines Elasticsearch |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Les domaines Elasticsearch doivent comporter au moins trois nœuds de données |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Les domaines Elasticsearch doivent être configurés avec au moins trois nœuds principaux dédiés |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Les connexions aux domaines Elasticsearch doivent être cryptées à l'aide du protocole TLS 1.2 |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
GuardDutydoit être activé |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rév. 5 |
ÉLEVÉ |
Périodique |
|
|
Les politiques IAM ne doivent pas autoriser les privilèges administratifs complets « * » |
CISAWSFoundations Benchmark v1.2.0,AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, PCI DSS v3.2.1, CISAWSFondements Benchmark v1.4.0, NIST SP 800-53 Rév. 5 |
ÉLEVÉ |
Modification déclenchée |
|
|
Les utilisateurs IAM ne doivent pas être associés à des politiques IAM |
CISAWSFoundations Benchmark v1.2.0,AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rév. 5 |
BAS |
Modification déclenchée |
|
|
Les clés d'accès des utilisateurs d'IAM doivent être renouvelées tous les 90 jours ou moins |
CISAWSFoundations Benchmark v1.2.0,AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, CISAWSFondements Benchmark v1.4.0, NIST SP 800-53 Rév. 5 |
MOYEN |
Périodique |
|
|
La clé d'accès utilisateur root IAM ne doit pas exister |
CISAWSFoundations Benchmark v1.2.0,AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, PCI DSS v3.2.1, CISAWSFondements Benchmark v1.4.0, NIST SP 800-53 Rév. 5 |
CRITIQUE |
Périodique |
|
|
La MFA doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console |
CISAWSFoundations Benchmark v1.2.0,AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, CISAWSFondements Benchmark v1.4.0, NIST SP 800-53 Rév. 5 |
MOYEN |
Périodique |
|
|
L'authentification MFA matérielle doit être activée pour l'utilisateur root |
CISAWSFoundations Benchmark v1.2.0,AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, PCI DSS v3.2.1, CISAWSFondements Benchmark v1.4.0, NIST SP 800-53 Rév. 5 |
CRITIQUE |
Périodique |
|
|
Les politiques de mots de passe pour les utilisateurs IAM doivent comporter des configurations robustes |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Périodique |
|
|
Les informations d'identification utilisateur IAM non utilisées doivent être supprimées |
CISAWSFoundations Benchmark v1.2.0,AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rév. 5 |
MOYEN |
Périodique |
|
|
L'authentification multifacteur virtuelle doit être activée pour l'utilisateur root |
CISAWSFoundations Benchmark v1.2.0, PCI DSS v3.2.1, CISAWSFondements Benchmark v1.4.0, NIST SP 800-53 Rév. 5 |
CRITIQUE |
Périodique |
|
|
Les politiques de mots de passe pour les utilisateurs IAM doivent comporter des configurations robustes |
PCI DSS v3.2.1 |
MOYEN |
Périodique |
|
|
Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule |
CISAWSFoundations Benchmark v1.2.0 |
MOYEN |
Périodique |
|
|
Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule |
CISAWSFoundations Benchmark v1.2.0 |
MOYEN |
Périodique |
|
|
Assurez-vous que la politique de mot de passe IAM requiert au moins un symbole |
CISAWSFoundations Benchmark v1.2.0 |
MOYEN |
Périodique |
|
|
Assurez-vous que la politique de mot de passe IAM requiert au moins un chiffre |
CISAWSFoundations Benchmark v1.2.0 |
MOYEN |
Périodique |
|
|
Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus |
CISAWSFoundations Benchmark v1.2.0, CISAWSFoundations Benchmark v1.4.0 |
MOYEN |
Périodique |
|
|
Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe |
CISAWSFoundations Benchmark v1.2.0, CISAWSFoundations Benchmark v1.4.0 |
BAS |
Périodique |
|
|
Assurez-vous que la politique de mots de passe IAM fait expirer les mots de passe dans un délai de 90 jours ou moins |
CISAWSFoundations Benchmark v1.2.0 |
BAS |
Périodique |
|
|
Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avecAWS Support |
CISAWSFoundations Benchmark v1.2.0, CISAWSFoundations Benchmark v1.4.0 |
BAS |
Périodique |
|
|
La MFA doit être activée pour tous les utilisateurs IAM |
PCI DSS v3.2.1, NIST SP 800-53 Rév. 5 |
MOYEN |
Périodique |
|
|
Évitez d'utiliser l'utilisateur root |
CISAWSFoundations Benchmark v1.2.0 |
BAS |
Périodique |
|
|
Les politiques IAM gérées par le client que vous créez ne doivent pas autoriser les actions génériques pour les services |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
BAS |
Modification déclenchée |
|
|
Les informations d'identification utilisateur IAM non utilisées pendant 45 jours doivent être supprimées |
CISAWSFoundations Benchmark v1.4.0 |
MOYEN |
Périodique |
|
|
Les flux Kinesis doivent être chiffrés au repos |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Les politiques IAM gérées par le client ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Les responsables IAM ne doivent pas disposer de politiques IAM intégrées autorisant des actions de déchiffrement sur toutes les clés KMS |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
AWS KMS keysne doit pas être supprimé par inadvertance |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
CRITIQUE |
Modification déclenchée |
|
|
AWS KMS keyla rotation doit être activée |
CISAWSFoundations Benchmark v1.2.0, PCI DSS v3.2.1, CISAWSFondements Benchmark v1.4.0, NIST SP 800-53 Rév. 5 |
MOYEN |
Périodique |
|
|
Les politiques relatives aux fonctions Lambda devraient interdire l'accès public |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rév. 5 |
CRITIQUE |
Modification déclenchée |
|
|
Les fonctions Lambda doivent utiliser des environnements d'exécution compatibles |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Les fonctions Lambda doivent se trouver dans un VPC |
PCI DSS v3.2.1, NIST SP 800-53 Rév. 5 |
BAS |
Modification déclenchée |
|
|
Les fonctions Lambda du VPC doivent fonctionner dans plusieurs zones de disponibilité |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Les clusters de base de données Neptune doivent être chiffrés au repos |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
MOYEN |
Périodique |
|
|
Les clusters de base de données Neptune doivent publier des journaux d'audit surCloudWatchJournaux |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
MOYEN |
Périodique |
|
|
Les instantanés du cluster de base de données Neptune ne doivent pas être publics |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
CRITIQUE |
Modification déclenchée |
|
|
La protection contre la suppression doit être activée pour les clusters de base de données Neptune |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
Faible |
Modification déclenchée |
|
|
Les sauvegardes automatiques doivent être activées pour les clusters de base de données Neptune |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
Medium |
Modification déclenchée |
|
|
Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
Medium |
Modification déclenchée |
|
|
L'authentification de la base de données IAM doit être activée pour les clusters de base de données Neptune |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
Medium |
Modification déclenchée |
|
|
Les clusters de base de données Neptune doivent être configurés pour copier des balises vers des instantanés |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
Faible |
Modification déclenchée |
|
|
Les politiques de pare-feu réseau doivent être associées à au moins un groupe de règles |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
L'action apatride par défaut pour les politiques de pare-feu réseau doit être de supprimer ou de transférer des paquets complets. |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
L'action apatride par défaut pour les politiques de pare-feu réseau doit être de supprimer ou de transférer pour les paquets fragmentés |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Le groupe de règles du pare-feu réseau Stateless ne doit pas être vide |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
OpenSearchle chiffrement au repos doit être activé pour les domaines |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
OpenSearchles domaines doivent se trouver dans un VPC |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rév. 5 |
CRITIQUE |
Modification déclenchée |
|
|
OpenSearchles domaines doivent crypter les données envoyées entre les nœuds |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
OpenSearchenregistrement des erreurs de domaine dansCloudWatchLes journaux doivent être activés |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
OpenSearchla journalisation des audits doit être activée pour les domaines |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
OpenSearchles domaines doivent comporter au moins trois nœuds de données |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
OpenSearchle contrôle d'accès affiné doit être activé pour les domaines |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
ÉLEVÉ |
Modification déclenchée |
|
|
Connexions àOpenSearchles domaines doivent être chiffrés à l'aide du protocole TLS 1.2 |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
L'instantané RDS doit être privé |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rév. 5 |
CRITIQUE |
Modification déclenchée |
|
|
Les instances de base de données RDS doivent interdire l'accès public, tel que déterminé parPubliclyAccessibleconfiguration |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rév. 5 |
CRITIQUE |
Modification déclenchée |
|
|
Le chiffrement au repos doit être activé sur les instances de base de données RDS |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, CISAWSFondements Benchmark v1.4.0, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Les instantanés du cluster RDS et les instantanés de base de données doivent être chiffrés au repos |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Les instances de base de données RDS doivent être configurées avec plusieurs zones de disponibilité |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Une surveillance améliorée doit être configurée pour les instances de base de données RDS |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
BAS |
Modification déclenchée |
|
|
La protection contre la suppression doit être activée pour les clusters RDS |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
BAS |
Modification déclenchée |
|
|
La protection contre la suppression doit être activée pour les instances de base de données RDS |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
BAS |
Modification déclenchée |
|
|
La journalisation de la base de données doit être activée |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
L'authentification IAM doit être configurée pour les instances RDS |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Les sauvegardes automatiques doivent être activées pour les instances RDS |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
L'authentification IAM doit être configurée pour les clusters RDS |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
MOYEN |
Modification déclenchée |
|
|
Les mises à niveau automatiques des versions mineures de RDS doivent être activées |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
ÉLEVÉ |
Modification déclenchée |
|
|
Le retour en arrière doit être activé pour les clusters Amazon Aurora |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
MOYEN |
Modification déclenchée |
|
|
Les clusters de base de données RDS doivent être configurés pour plusieurs zones de disponibilité |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
MOYEN |
Modification déclenchée |
|
|
Les clusters de bases de données RDS doivent être configurés pour copier des balises vers des instantanés |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
BAS |
Modification déclenchée |
|
|
Les instances de base de données RDS doivent être configurées pour copier des balises vers des instantanés |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
BAS |
Modification déclenchée |
|
|
Les instances RDS doivent être déployées dans un VPC |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
ÉLEVÉ |
Modification déclenchée |
|
|
Un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques du cluster |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
BAS |
Modification déclenchée |
|
|
Un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques des instances de base de données |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
BAS |
Modification déclenchée |
|
|
Un abonnement aux notifications d'événements RDS doit être configuré pour les événements de groupes de paramètres de base de données critiques |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
BAS |
Modification déclenchée |
|
|
Un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques du groupe de sécurité des bases de données |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
BAS |
Modification déclenchée |
|
|
Les instances RDS ne doivent pas utiliser le port par défaut d'un moteur de base de données |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
BAS |
Modification déclenchée |
|
|
Les clusters de bases de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
MOYEN |
Modification déclenchée |
|
|
Les instances de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Les instances de base de données RDS doivent être protégées par un plan de sauvegarde |
NIST SP 800-53 Rév. 5 |
MOYEN |
Périodique |
|
|
Les clusters de bases de données RDS doivent être chiffrés au repos |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
MOYEN |
Modification déclenchée |
|
|
Les clusters Amazon Redshift doivent interdire l'accès public |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rév. 5 |
CRITIQUE |
Modification déclenchée |
|
|
Les connexions aux clusters Amazon Redshift doivent être cryptées pendant le transit |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Les instantanés automatiques doivent être activés pour les clusters Amazon Redshift |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
MOYEN |
Modification déclenchée |
|
|
La journalisation des audits doit être activée pour les clusters Amazon Redshift |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Les mises à niveau automatiques vers les versions principales d'Amazon Redshift devraient être activées |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Les clusters Redshift doivent utiliser un routage VPC amélioré |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Les clusters Amazon Redshift ne doivent pas utiliser le nom d'utilisateur administrateur par défaut |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Les clusters Redshift ne doivent pas utiliser le nom de base de données par défaut |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Les clusters Redshift doivent être chiffrés au repos |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Le paramètre S3 Block Public Access doit être activé |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, PCI DSS v3.2.1, CISAWSFondements Benchmark v1.4.0, NIST SP 800-53 Rév. 5 |
MOYEN |
Périodique |
|
|
Les compartiments S3 doivent interdire l'accès public en lecture |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rév. 5 |
CRITIQUE |
Changement déclenché et périodique |
|
|
Les compartiments S3 doivent interdire l'accès public à l'écriture |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rév. 5 |
CRITIQUE |
Changement déclenché et périodique |
|
|
Le chiffrement côté serveur doit être activé pour les compartiments S3 |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, PCI DSS v3.2.1, CISAWSFondements Benchmark v1.4.0, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Les compartiments S3 doivent nécessiter des demandes d'utilisation du protocole Secure Socket Layer |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, PCI DSS v3.2.1, CISAWSFondements Benchmark v1.4.0, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Autorisations S3 accordées à d'autresComptes AWSles politiques relatives aux compartiments doivent être restreintes |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
ÉLEVÉ |
Modification déclenchée |
|
|
La réplication entre régions doit être activée pour les compartiments S3 |
PCI DSS v3.2.1, NIST SP 800-53 Rév. 5 |
BAS |
Modification déclenchée |
|
|
Le paramètre S3 Block Public Access doit être activé au niveau du bucket |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, CISAWSFondements Benchmark v1.4.0, NIST SP 800-53 Rév. 5 |
ÉLEVÉ |
Modification déclenchée |
|
|
La journalisation des accès au serveur de compartiments S3 doit être activée |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Des politiques de cycle de vie doivent être configurées pour les compartiments S3 pour lesquels la gestion des versions est activée |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Les notifications d'événements doivent être activées pour les compartiments S3 |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Les listes de contrôle d'accès (ACL) S3 ne doivent pas être utilisées pour gérer l'accès des utilisateurs aux buckets |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Des politiques de cycle de vie doivent être configurées pour les compartiments S3 |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
BAS |
Modification déclenchée |
|
|
La gestion des versions doit être activée pour les compartiments S3 |
NIST SP 800-53 Rév. 5 |
BAS |
Modification déclenchée |
|
|
Les compartiments S3 doivent être configurés pour utiliser Object Lock |
NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Les compartiments S3 doivent être chiffrés au repos avecAWS KMS keys |
NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
AmazonSageMakerles instances de bloc-notes ne doivent pas disposer d'un accès direct à Internet |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rév. 5 |
ÉLEVÉ |
Périodique |
|
|
SageMakerles instances de bloc-notes doivent être lancées dans un VPC personnalisé |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
ÉLEVÉ |
Modification déclenchée |
|
|
Les utilisateurs ne doivent pas disposer d'un accès root àSageMakerinstances de bloc-notes |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
ÉLEVÉ |
Modification déclenchée |
|
|
La rotation automatique des secrets du gestionnaire de secrets doit être activée |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Les secrets du gestionnaire de secrets configurés avec une rotation automatique devraient correctement pivoter |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Supprimer les secrets inutilisés du gestionnaire de secrets |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Périodique |
|
|
Les secrets du gestionnaire de secrets doivent faire l'objet d'une rotation dans un délai de jours spécifié |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Périodique |
|
|
Les rubriques SNS doivent être cryptées au repos à l'aide deAWS KMS |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
La journalisation de l'état de livraison doit être activée pour les messages de notification envoyés à une rubrique |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Les files d'attente Amazon SQS doivent être cryptées au repos |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Les instances EC2 doivent être gérées parAWS Systems Manager |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Les instances EC2 gérées par Systems Manager doivent avoir l'état de conformité aux correctifs CONFORME après l'installation d'un correctif |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rév. 5 |
ÉLEVÉ |
Modification déclenchée |
|
|
Les instances EC2 gérées par Systems Manager doivent avoir le statut de conformité d'association COMPLIANT |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 Rév. 5 |
BAS |
Modification déclenchée |
|
|
Les documents SSM ne doivent pas être publics |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
CRITIQUE |
Périodique |
|
|
Step Functions indique que la journalisation doit être activée sur les machines |
AWSBonnes pratiques de sécurité de base |
MOYEN |
Modification déclenchée |
|
|
AWS WAFLa journalisation des ACL Web classiques doit être activée |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
MOYEN |
Périodique |
|
|
Une règle régionale WAF doit comporter au moins une condition |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Un groupe de règles régional WAF doit avoir au moins une règle |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Une ACL Web régionale WAF doit comporter au moins une règle ou un groupe de règles |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
Une règle globale WAF doit comporter au moins une condition |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
MOYEN |
Modification déclenchée |
|
|
Un groupe de règles global WAF doit avoir au moins une règle |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
MOYEN |
Modification déclenchée |
|
|
Une ACL Web globale WAF doit comporter au moins une règle ou un groupe de règles |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 |
MOYEN |
Modification déclenchée |
|
|
Une ACL Web WAFV2 doit comporter au moins une règle ou un groupe de règles |
AWSBonnes pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :AWS Control Tower, NIST SP 800-53 Rév. 5 |
MOYEN |
Modification déclenchée |
|
|
AWS WAFLa journalisation des ACL Web v2 doit être activée |
NIST SP 800-53 Rév. 5 |
BAS |
Périodique |
Rubriques
- Compte AWScommandes
- AWS Certificate Managercommandes
- Contrôles d'Amazon API Gateway
- AWS AppSynccommandes
- Contrôles Amazon Athena
- Contrôles Amazon EC2 Auto Scaling
- AWS CloudFormationcommandes
- AmazonCloudFrontcommandes
- AWS CloudTrailcommandes
- AmazonCloudWatchcommandes
- AWS CodeBuildcommandes
- AWS Configcommandes
- AWS Database Migration Servicecommandes
- Contrôles Amazon DocumentDB
- Contrôles Amazon DynamoDB
- Contrôles d'Amazon Elastic Container Registry
- Contrôles Amazon ECS
- Contrôles Amazon Elastic Compute Cloud
- Contrôles d'Amazon Elastic File System
- Contrôles d'Amazon Elastic Kubernetes Service
- AmazonElastiCachecommandes
- AWS Elastic Beanstalkcommandes
- Contrôles Elastic Load Balancing
- Contrôles Amazon EMR
- Contrôles Elasticsearch
- AmazonGuardDutycommandes
- AWS Identity and Access Managementcommandes
- Contrôles Amazon Kinesis
- AWS Key Management Servicecommandes
- AWS Lambdacommandes
- Contrôles Amazon Neptune
- AWS Network Firewallcommandes
- AmazonOpenSearchContrôles de service
- Contrôles du service de base de données relationnelle Amazon
- Contrôles Amazon Redshift
- Contrôles d'Amazon Simple Storage Service
- AmazonSageMakercommandes
- AWS Secrets Managercommandes
- Contrôles d'Amazon Simple Notification Service
- Contrôles du service Amazon Simple Queue
- Contrôles du gestionnaire de systèmes Amazon EC2
- AWS Step Functionscommandes
- AWS WAFcommandes
