Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Référence de contrôle pour Security Hub CSPM
Cette référence de contrôle fournit un tableau des contrôles AWS Security Hub CSPM disponibles avec des liens vers des informations supplémentaires sur chaque contrôle. Dans le tableau, les contrôles sont répertoriés par ordre alphabétique par ID de contrôle. Seuls les contrôles utilisés activement par Security Hub CSPM sont inclus ici. Les contrôles retirés sont exclus du tableau.
Le tableau fournit les informations suivantes pour chaque contrôle :
-
ID de contrôle de sécurité — Cet identifiant s'applique à toutes les normes et indique la ressource Service AWS et les ressources auxquelles le contrôle se rapporte. La console Security Hub CSPM affiche le contrôle de sécurité IDs, que les résultats de contrôle consolidés soient activés ou non dans votre compte. Toutefois, les résultats du Security Hub CSPM font référence au contrôle de sécurité IDs uniquement si les résultats de contrôle consolidés sont activés dans votre compte. Si les résultats de contrôle consolidés sont désactivés dans votre compte, certains contrôles IDs varient d'une norme à l'autre en ce qui concerne vos résultats de contrôle. Pour un mappage entre le contrôle spécifique à une norme et le contrôle IDs de sécurité IDs, voir. L'impact de la consolidation sur le contrôle IDs et les titres
Si vous souhaitez configurer des automatisations pour les contrôles de sécurité, nous vous recommandons de filtrer en fonction de l'ID du contrôle plutôt que du titre ou de la description. Alors que Security Hub CSPM peut parfois mettre à jour les titres ou les descriptions des contrôles, le contrôle IDs reste le même.
IDs Le contrôle peut ignorer des chiffres. Il s'agit d'espaces réservés pour les futurs contrôles.
-
Titre du contrôle de sécurité — Ce titre s'applique à toutes les normes. La console Security Hub CSPM affiche les titres des contrôles de sécurité, que les résultats de contrôle consolidés soient activés ou non dans votre compte. Toutefois, les résultats du Security Hub CSPM font référence aux titres des contrôles de sécurité uniquement si les résultats de contrôle consolidés sont activés dans votre compte. Si les résultats de contrôle consolidés sont désactivés dans votre compte, certains titres de contrôle varient selon les normes en termes de résultats de contrôle. Pour un mappage entre le contrôle spécifique à une norme et le contrôle IDs de sécurité IDs, voir. L'impact de la consolidation sur le contrôle IDs et les titres
-
Normes applicables — Indique à quelles normes s'applique un contrôle. Choisissez un contrôle pour passer en revue les exigences spécifiques des cadres de conformité tiers.
-
Gravité — La sévérité d'un contrôle identifie son importance du point de vue de la sécurité. Pour plus d'informations sur la manière dont Security Hub CSPM détermine le niveau de sévérité des contrôles, consultez. Niveaux de gravité des résultats de contrôle
-
Prend en charge les paramètres personnalisés : indique si le contrôle prend en charge les valeurs personnalisées pour un ou plusieurs paramètres. Choisissez un contrôle pour consulter les détails des paramètres. Pour de plus amples informations, veuillez consulter Comprendre les paramètres de contrôle dans Security Hub CSPM.
-
Type de planification — Indique à quel moment le contrôle est évalué. Pour de plus amples informations, veuillez consulter Planification de l'exécution des vérifications de sécurité.
Choisissez un contrôle pour consulter des informations supplémentaires. Les contrôles sont répertoriés par ordre alphabétique par numéro de contrôle de sécurité.
| ID de contrôle de sécurité | Titre du contrôle de sécurité | Normes applicables | Sévérité | Supporte les paramètres personnalisés | Type de calendrier |
|---|---|---|---|---|---|
| Account.1 | Les coordonnées de sécurité doivent être fournies pour Compte AWS | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, Meilleures pratiques de sécurité de base v1.0.0AWS, NIST SP 800-53 Rev. 5 | MOYEN | Périodique | |
| Compte.2 | Compte AWSdoit faire partie d'une AWS Organizations organisation | NIST SP 800-53 Rév. 5 | ÉLEVÉ | |
Périodique |
| ACM.1 | Les certificats importés et émis par ACM doivent être renouvelés après une période spécifiée | AWSBonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché et périodique |
| ACM.2 | Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits | AWSBonnes pratiques de sécurité de base v1.0.0, PCI DSS v4.0.1 | ÉLEVÉ | |
Changement déclenché |
| ACM.3 | Les certificats ACM doivent être étiquetés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Amplification.1 | Les applications Amplify doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Amplifier.2 | Les branches Amplify doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| APIGateway1. | API Gateway REST et la journalisation de l'exécution de l' WebSocket API doivent être activées | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| APIGateway2. | Les étapes de l'API REST d'API Gateway doivent être configurées pour utiliser des certificats SSL pour l'authentification du backend | AWSBonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MOYEN | |
Changement déclenché |
| APIGateway3. | Le AWS X-Ray suivi doit être activé sur les étapes de l'API REST d'API Gateway | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | |
Changement déclenché |
| APIGateway4. | API Gateway doit être associé à une ACL Web WAF | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| APIGateway5. | Les données du cache de l'API REST API Gateway doivent être chiffrées au repos | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| APIGateway8. | Les routes API Gateway doivent spécifier un type d'autorisation | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Périodique |
| APIGateway9. | La journalisation des accès doit être configurée pour les étapes API Gateway V2 | AWSBonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| AppConfig1. | AWS AppConfigles applications doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| AppConfig2. | AWS AppConfigles profils de configuration doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| AppConfig3. | AWS AppConfigles environnements doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| AppConfig4. | AWS AppConfigles associations d'extensions doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| AppFlow1. | AppFlow Les flux Amazon doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| AppRunner1. | Les services App Runner doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| AppRunner2. | Les connecteurs VPC App Runner doivent être étiquetés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| AppSync1. | AWSAppSync Les caches d'API doivent être chiffrés au repos | AWSBonnes pratiques fondamentales en matière de sécurité | MOYEN | Changement déclenché | |
| AppSync2. | AWSAppSync la journalisation au niveau du champ doit être activée | AWSBonnes pratiques de sécurité de base v1.0.0, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| AppSync4. | AWSAppSync GraphQL APIs doit être balisé | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| AppSync5. | AWSAppSync GraphQL ne APIs doit pas être authentifié avec des clés d'API | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | |
Changement déclenché |
| AppSync6. | AWSAppSync Les caches d'API doivent être chiffrés pendant le transport | AWSBonnes pratiques fondamentales en matière de sécurité | MOYEN | Changement déclenché | |
| Athéna.2 | Les catalogues de données Athena doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Athéna.3 | Les groupes de travail Athena doivent être étiquetés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Athéna.4 | La journalisation des groupes de travail Athena doit être activée | AWSBonnes pratiques fondamentales en matière de sécurité | MOYEN | Changement déclenché | |
| AutoScaling1. | Les groupes Auto Scaling associés à un équilibreur de charge doivent utiliser les contrôles de santé ELB | AWSBonnes pratiques de sécurité fondamentales, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | BAS | Changement déclenché | |
| AutoScaling2. | Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| AutoScaling3. | Les configurations de lancement du groupe Auto Scaling doivent configurer les EC2 instances de manière à ce qu'elles nécessitent la version 2 du service de métadonnées d'instance (IMDSv2) | AWSBonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | |
Changement déclenché |
| Autoscaling.5 | EC2 Les instances Amazon lancées à l'aide des configurations de lancement de groupe Auto Scaling ne doivent pas avoir d'adresses IP publiques | AWSBonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | |
Changement déclenché |
| AutoScaling6. | Les groupes Auto Scaling doivent utiliser plusieurs types d'instances dans plusieurs zones de disponibilité | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| AutoScaling9. | EC2 Les groupes Auto Scaling doivent utiliser des modèles de EC2 lancement | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| AutoScaling.10 | EC2 Les groupes Auto Scaling doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Sauvegarde.1 | AWS Backuples points de récupération doivent être chiffrés au repos | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| Sauvegarde.2 | AWS Backuples points de récupération doivent être étiquetés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Sauvegarde.3 | AWS Backuples coffres-forts doivent être étiquetés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Sauvegarde.4 | AWS Backuples plans de rapport doivent être étiquetés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Sauvegarde.5 | AWS Backuples plans de sauvegarde doivent être étiquetés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Lot 1 | Les files d'attente de tâches par lots doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Lot 2 | Les politiques de planification par lots doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Lot 3 | Les environnements de calcul par lots doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Lot 4 | Les propriétés des ressources de calcul dans les environnements de calcul Batch gérés doivent être balisées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| CloudFormation2. | CloudFormation les piles doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| CloudFormation3. | CloudFormation la protection des terminaisons doit être activée pour les piles | AWSBonnes pratiques fondamentales en matière de sécurité | MOYEN | Changement déclenché | |
| CloudFormation4. | CloudFormation les piles doivent avoir des rôles de service associés | AWSBonnes pratiques fondamentales en matière de sécurité | MOYEN | Changement déclenché | |
| CloudFront1. | CloudFront les distributions doivent avoir un objet racine par défaut configuré | AWSBonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | Changement déclenché | |
| CloudFront3. | CloudFront les distributions devraient nécessiter un chiffrement pendant le transit | AWSBonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| CloudFront4. | CloudFront le basculement d'origine doit être configuré pour les distributions | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | |
Changement déclenché |
| CloudFront5. | CloudFront la journalisation des distributions doit être activée | AWSBonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| CloudFront6. | CloudFront le WAF doit être activé sur les distributions | AWSBonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| CloudFront7. | CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés | AWSBonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | BAS | |
Changement déclenché |
| CloudFront8. | CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | |
Changement déclenché |
| CloudFront9. | CloudFront les distributions doivent chiffrer le trafic vers des origines personnalisées | AWSBonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| CloudFront.10 | CloudFront les distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées | AWSBonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| CloudFront.12 | CloudFront les distributions ne doivent pas pointer vers des origines S3 inexistantes | AWSBonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | |
Périodique |
| CloudFront.13 | CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine | AWSBonnes pratiques de sécurité fondamentales v1.0.0 | MOYEN | |
Changement déclenché |
| CloudFront.14 | CloudFront les distributions doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| CloudFront.15 | CloudFront les distributions doivent utiliser la politique de sécurité TLS recommandée | AWSBonnes pratiques de sécurité fondamentales v1.0.0 | MOYEN | Changement déclenché | |
| CloudFront.16 | CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine pour les origines des URL de la fonction Lambda | AWSBonnes pratiques de sécurité fondamentales v1.0.0 | MOYEN | Changement déclenché | |
| CloudFront.17 | CloudFront les distributions doivent utiliser des groupes de clés fiables pour les signatures URLs et les cookies | AWSBonnes pratiques de sécurité fondamentales v1.0.0 | MOYEN | Changement déclenché | |
| CloudTrail1. | CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, meilleures AWS pratiques de sécurité de AWS base, NIST SP 800-53 Rev. 5 | ÉLEVÉ | Périodique | |
| CloudTrail2. | CloudTrail le chiffrement au repos doit être activé | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.2.0, CIS AWS AWS Foundations Benchmark v1.4.0 AWS Fondational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | MOYEN | |
Périodique |
| CloudTrail3. | Au moins une CloudTrail piste doit être activée | NIST SP 800-171 Rév. 2, PCI DSS v4.0.1, PCI DSS v3.2.1 | ÉLEVÉ | Périodique | |
| CloudTrail4. | CloudTrail la validation du fichier journal doit être activée | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Meilleures pratiques de sécurité de AWS base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, PCI DSS v3.2.1 AWS | BAS | |
Périodique |
| CloudTrail5. | CloudTrail les sentiers doivent être intégrés à Amazon CloudWatch Logs | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, Meilleures pratiques de sécurité AWS fondamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | MOYEN | |
Périodique |
| CloudTrail6. | Assurez-vous que le compartiment S3 utilisé pour stocker CloudTrail les journaux n'est pas accessible au public | Benchmark CIS AWS Foundations v1.2.0, CIS AWS Foundations Benchmark v1.4.0, PCI DSS v4.0.1 | CRITIQUE | |
Changement déclenché et périodique |
| CloudTrail7. | Assurez-vous que la journalisation des accès au compartiment S3 est activée sur le compartiment CloudTrail S3 | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 AWS | BAS | |
Périodique |
| CloudTrail9. | CloudTrail les sentiers doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| CloudTrail.10 | CloudTrail Les magasins de données sur les événements de Lake doivent être chiffrés et gérés par le client AWS KMS keys | NIST SP 800-53 Rév. 5 | MOYEN | Périodique | |
| CloudWatch1. | Un journal, un filtre métrique et une alarme doivent exister pour l'utilisation de l'utilisateur « root » | Benchmark CIS AWS Foundations v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1 | BAS | |
Périodique |
| CloudWatch2. | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les appels d'API non autorisés | CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | |
Périodique |
| CloudWatch3. | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour la connexion à la console de gestion sans MFA | Benchmark CIS AWS Foundations v1.2.0 | BAS | |
Périodique |
| CloudWatch4. | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications de politique IAM | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | |
Périodique |
| CloudWatch5. | Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour les modifications CloudTrail de configuration | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | |
Périodique |
| CloudWatch6. | Assurez-vous qu'un journal, un filtre métrique et une alarme existent en cas AWS Management Console d'échec d'authentification | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | |
Périodique |
| CloudWatch7. | Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour la désactivation ou la suppression planifiée des fichiers créés par le client CMKs | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | |
Périodique |
| CloudWatch8. | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications de politique de compartiment S3 | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | |
Périodique |
| CloudWatch9. | Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour les modifications AWS Config de configuration | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | |
Périodique |
| CloudWatch.10 | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications des groupes de sécurité | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | |
Périodique |
| CloudWatch.11 | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications des listes de contrôle d'accès réseau (ACL réseau) | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | |
Périodique |
| CloudWatch.12 | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications des passerelles réseau | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | |
Périodique |
| CloudWatch.13 | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications des tables de routage | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | |
Périodique |
| CloudWatch.14 | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications VPC | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | |
Périodique |
| CloudWatch.15 | CloudWatch les alarmes doivent avoir des actions spécifiées configurées | NIST SP 800-53 rév. 5, NIST SP 800-171 rév. 2 | ÉLEVÉ | |
Changement déclenché |
| CloudWatch.16 | CloudWatch les groupes de journaux doivent être conservés pendant une période spécifiée | NIST SP 800-53 Rév. 5 | MOYEN | |
Périodique |
| CloudWatch.17 | CloudWatch les actions d'alarme doivent être activées | NIST SP 800-53 Rév. 5 | ÉLEVÉ | |
Changement déclenché |
| CodeArtifact1. | CodeArtifact les référentiels doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| CodeBuild1. | CodeBuild Le référentiel source de Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles | AWSBonnes pratiques de sécurité de base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRITIQUE | Changement déclenché | |
| CodeBuild2. | CodeBuild les variables d'environnement du projet ne doivent pas contenir d'informations d'identification en texte clair | AWSBonnes pratiques de sécurité de base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRITIQUE | |
Changement déclenché |
| CodeBuild3. | CodeBuild Les journaux S3 doivent être chiffrés | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BAS | |
Changement déclenché |
| CodeBuild4. | CodeBuild les environnements de projet doivent avoir une configuration de journalisation | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| CodeBuild7. | CodeBuild les exportations de groupes de rapports doivent être cryptées au repos | AWSBonnes pratiques fondamentales en matière de sécurité | MOYEN | Changement déclenché | |
| CodeGuruProfiler1. | CodeGuru Les groupes de profilage doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| CodeGuruReviewer1. | CodeGuru Les associations de référentiels des réviseurs doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Cognito.1 | Les groupes d'utilisateurs de Cognito doivent avoir la protection contre les menaces activée avec le mode d'application complet pour l'authentification standard | AWSBonnes pratiques fondamentales en matière de sécurité | MOYEN | Changement déclenché | |
| Cognito 2 | Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées | AWSBonnes pratiques fondamentales en matière de sécurité | MOYEN | Changement déclenché | |
| Cognito 3 | Les politiques de mot de passe pour les groupes d'utilisateurs de Cognito doivent être configurées de manière stricte | AWSBonnes pratiques fondamentales en matière de sécurité | MOYEN | Changement déclenché | |
| Cognito 4 | Les groupes d'utilisateurs de Cognito doivent avoir la protection contre les menaces activée avec le mode d'application complet pour une authentification personnalisée | AWSBonnes pratiques fondamentales en matière de sécurité | MOYEN | Changement déclenché | |
| Cognito 5 | La MFA doit être activée pour les groupes d'utilisateurs de Cognito | AWSBonnes pratiques fondamentales en matière de sécurité | MOYEN | Changement déclenché | |
| Cognito 6 | La protection contre les suppressions doit être activée pour les groupes d'utilisateurs de Cognito | AWSBonnes pratiques fondamentales en matière de sécurité | MOYEN | Changement déclenché | |
| Config.1 | AWS Configdoit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, meilleures pratiques de sécurité de AWS base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1 AWS | CRITIQUE | Périodique | |
| Connecter 1 | Les types d'objets des profils clients Amazon Connect doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Connecter 2 | La CloudWatch journalisation des instances Amazon Connect doit être activée | AWSBonnes pratiques fondamentales en matière de sécurité | MOYEN | Changement déclenché | |
| DataFirehose1. | Les flux de diffusion de Firehose doivent être chiffrés au repos | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | Périodique | |
| DataSync1. | DataSync la journalisation des tâches doit être activée | AWSBonnes pratiques fondamentales en matière de sécurité | MOYEN | Changement déclenché | |
| DataSync2. | DataSync les tâches doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Détective 1 | Les graphes de comportement des détectives doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| DMS.1 | Les instances de réplication du Database Migration Service ne doivent pas être publiques | AWSBonnes pratiques de sécurité de base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRITIQUE | |
Périodique |
| DMS.2 | Les certificats DMS doivent être étiquetés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| DMS.3 | Les abonnements aux événements DMS doivent être étiquetés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| DMS.4 | Les instances de réplication DMS doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| DMS.5 | Les groupes de sous-réseaux de réplication DMS doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| DMS.6 | La mise à niveau automatique des versions mineures des instances de réplication DMS doit être activée | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| DMS.7 | La journalisation des tâches de réplication DMS pour la base de données cible doit être activée | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| DMS.8 | La journalisation des tâches de réplication DMS pour la base de données source doit être activée | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| DMS.9 | Les points de terminaison DMS doivent utiliser le protocole SSL | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| DMS 10 | Les points de terminaison DMS pour les bases de données Neptune doivent avoir l'autorisation IAM activée | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | Changement déclenché | |
| DMS.11 | Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | Changement déclenché | |
| DMS.12 | TLS doit être activé sur les points de terminaison DMS pour Redis OSS | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | Changement déclenché | |
| DMS.13 | Les instances de réplication DMS doivent être configurées pour utiliser plusieurs zones de disponibilité | AWSBonnes pratiques fondamentales en matière de sécurité | MOYEN | Changement déclenché | |
| Document DB.1 | Les clusters Amazon DocumentDB doivent être chiffrés au repos | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| Document DB.2 | Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| Document DB.3 | Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRITIQUE | |
Changement déclenché |
| Document DB.4 | Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| Document DB.5 | La protection contre la suppression des clusters Amazon DocumentDB doit être activée | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| Document DB.6 | Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport | AWSBonnes pratiques fondamentales en matière de sécurité | MOYEN | Périodique | |
| DynamoDB.1 | Les tables DynamoDB doivent automatiquement adapter la capacité à la demande | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Périodique |
| DynamoDB.2 | La restauration des tables DynamoDB doit être activée point-in-time | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| DynamoDB.3 | Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Périodique |
| Dynamo DB.4 | Les tables DynamoDB doivent être présentes dans un plan de sauvegarde | NIST SP 800-53 Rév. 5 | MOYEN | |
Périodique |
| Dynamo DB.5 | Les tables DynamoDB doivent être balisées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Dynamo DB.6 | La protection contre la suppression des tables DynamoDB doit être activée | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| Dynamo DB.7 | Les clusters DynamoDB Accelerator doivent être chiffrés en transit | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | Périodique | |
| EC21. | Les instantanés EBS ne doivent pas être restaurables publiquement | AWSBonnes pratiques de sécurité de base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRITIQUE | |
Périodique |
| EC22. | Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, Meilleures pratiques de sécurité de base v1.0.0, PCI DSS v3.2.1, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 AWS | ÉLEVÉ | |
Changement déclenché |
| EC23. | Les volumes EBS attachés doivent être chiffrés au repos | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| EC24. | EC2 Les instances arrêtées doivent être supprimées après une période spécifiée | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Périodique |
| EC26. | La journalisation des flux VPC doit être activée dans tous les cas VPCs | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, Meilleures pratiques de sécurité de base v1.0.0, PCI DSS v3.2.1, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5, NIST SP AWS 800-171 Rev. 2 | MOYEN | |
Périodique |
| EC27. | Le chiffrement par défaut EBS doit être activé | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, Meilleures pratiques de sécurité de base v1.0.0, CIS AWS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Périodique |
| EC28. | EC2 les instances doivent utiliser le service de métadonnées d'instance version 2 (IMDSv2) | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, meilleures pratiques de sécurité de AWS base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | |
Changement déclenché |
| EC29. | EC2 les instances ne doivent pas avoir d' IPv4 adresse publique | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | |
Changement déclenché |
| EC2.10 | Amazon EC2 doit être configuré pour utiliser les points de terminaison VPC créés pour le service Amazon EC2 | AWSBonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MOYEN | |
Périodique |
| EC2.12 | Les articles non utilisés EC2 EIPs doivent être retirés | PCI DSS v3.2.1, NIST SP 800-53 Rév. 5 | BAS | |
Changement déclenché |
| EC2.13 | Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22 | CIS AWS Foundations Benchmark v1.2.0, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 Rév. 5, NIST SP 800-171 Rév. 2 | ÉLEVÉ | Changement déclenché et périodique | |
| EC2.14 | Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389 | Benchmark CIS AWS Foundations v1.2.0, PCI DSS v4.0.1 | ÉLEVÉ | Changement déclenché et périodique | |
| EC2.15 | EC2 les sous-réseaux ne doivent pas attribuer automatiquement d'adresses IP publiques | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| EC2.16 | Les listes de contrôle d'accès réseau non utilisées doivent être supprimées | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, | BAS | |
Changement déclenché |
| EC2.17 | EC2 les instances ne doivent pas utiliser plusieurs ENIs | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | |
Changement déclenché |
| EC2.18 | Les groupes de sécurité ne doivent autoriser le trafic entrant illimité que pour les ports autorisés | AWSBonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | ÉLEVÉ | |
Changement déclenché |
| EC2.19 | Les groupes de sécurité ne doivent pas autoriser un accès illimité aux ports présentant un risque élevé | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | CRITIQUE | Changement déclenché et périodique | |
| EC2.20 | Les deux tunnels VPN pour une connexion AWS Site-to-Site VPN doivent être actifs | AWSBonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MOYEN | |
Changement déclenché |
| EC2.21 | ACLs Le réseau ne doit pas autoriser l'entrée de 0.0.0.0/0 vers le port 22 ou le port 3389 | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Meilleures pratiques de sécurité de AWS base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| EC22.2 | Les groupes EC2 de sécurité non utilisés doivent être supprimés | MOYEN | Périodique | ||
| EC22.3 | EC2 Les passerelles de transit ne doivent pas accepter automatiquement les demandes de pièces jointes VPC | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | |
Changement déclenché |
| EC22.4 | EC2 les types d'instance paravirtuels ne doivent pas être utilisés | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| EC2.25 | EC2 les modèles de lancement ne doivent pas attribuer IPs de public aux interfaces réseau | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | |
Changement déclenché |
| EC2.28 | Les volumes EBS doivent être inclus dans un plan de sauvegarde | NIST SP 800-53 Rév. 5 | BAS | |
Périodique |
| EC23.3 | EC2 les pièces jointes des passerelles de transit doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| EC23.4 | EC2 les tables de routage des passerelles de transit doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| EC23.5 | EC2 les interfaces réseau doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| EC2.36 | EC2 les passerelles client doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| EC2.37 | EC2 Les adresses IP élastiques doivent être balisées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| EC2.38 | EC2 les instances doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| EC2.39 | EC2 les passerelles Internet doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| EC2.40 | EC2 Les passerelles NAT doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| EC2.41 | EC2 le réseau ACLs doit être étiqueté | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| EC24.2 | EC2 les tables de routage doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| EC24.3 | EC2 les groupes de sécurité doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| EC2.44 | EC2 les sous-réseaux doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| EC2.45 | EC2 les volumes doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| EC2.46 | Amazon VPCs doit être tagué | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| EC24,7 | Les services de point de terminaison Amazon VPC doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| EC2.48 | Les journaux de flux Amazon VPC doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| EC24,9 | Les connexions d'appairage Amazon VPC doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| EC25,0 | EC2 Les passerelles VPN doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| EC25.1 | EC2 La journalisation des connexions client doit être activée sur les points de terminaison VPN du client | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | BAS | |
Changement déclenché |
| EC25.2 | EC2 les passerelles de transit devraient être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| EC25.3 | EC2 les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers les ports d'administration des serveurs distants | Benchmark CIS AWS Foundations v5.0.0, CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 | ÉLEVÉ | Périodique | |
| EC2.54 | EC2 les groupes de sécurité ne doivent pas autoriser l'entrée depuis : :/0 vers les ports d'administration du serveur distant | Benchmark CIS AWS Foundations v5.0.0, CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 | ÉLEVÉ | Périodique | |
| EC25.5 | VPCs doit être configuré avec un point de terminaison d'interface pour l'API ECR | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | Périodique | |
| EC2.56 | VPCs doit être configuré avec un point de terminaison d'interface pour Docker Registry | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | Périodique | |
| EC25,7 | VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | Périodique | |
| EC2.58 | VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | Périodique | |
| EC2.60 | VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | Périodique | |
| EC2,170 | EC2 les modèles de lancement doivent utiliser le service de métadonnées d'instance version 2 (IMDSv2) | AWSBonnes pratiques de sécurité de base, PCI DSS v4.0.1 | BAS | Changement déclenché | |
| EC2,171 | EC2 La journalisation des connexions VPN doit être activée | AWSBonnes pratiques de sécurité de base, PCI DSS v4.0.1 | MOYEN | Changement déclenché | |
| EC2,172 | EC2 Les paramètres d'accès public VPC Block devraient bloquer le trafic de passerelle Internet | AWSBonnes pratiques fondamentales en matière de sécurité | MOYEN | Changement déclenché | |
| EC2,173 | EC2 Les demandes Spot Fleet avec paramètres de lancement doivent permettre le chiffrement des volumes EBS attachés | AWSBonnes pratiques fondamentales en matière de sécurité | MOYEN | Changement déclenché | |
| EC2,174 | EC2 Les ensembles d'options DHCP doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| EC2,175 | EC2 les modèles de lancement doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| EC2,176 | EC2 les listes de préfixes doivent être balisées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| EC2,177 | EC2 les sessions de miroir du trafic doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| EC2,178 | EC2 les filtres des rétroviseurs doivent être étiquetés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| EC2,179 | EC2 les cibles des miroirs de circulation doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| EC2,180 | EC2 la source/destination vérification doit être activée sur les interfaces réseau | AWSBonnes pratiques de sécurité fondamentales v1.0.0 | MOYEN | Changement déclenché | |
| EC2,181 | EC2 les modèles de lancement doivent activer le chiffrement des volumes EBS attachés | AWSBonnes pratiques de sécurité fondamentales v1.0.0 | MOYEN | Changement déclenché | |
| EC2,182 | Les instantanés EBS ne doivent pas être accessibles au public | AWSBonnes pratiques fondamentales en matière de sécurité | ÉLEVÉ | Changement déclenché | |
| ECR.1 | La numérisation des images doit être configurée dans les référentiels privés ECR | AWSBonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | |
Périodique |
| ECR.2 | L'immuabilité des balises doit être configurée dans les référentiels privés ECR | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| ECR.3 | Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| ECR.4 | Les référentiels publics ECR doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| ECR.5 | Les référentiels ECR doivent être chiffrés et gérés par le client AWS KMS keys | NIST SP 800-53 Rév. 5 | MOYEN | Changement déclenché | |
| ECS.1 | Les définitions de tâches Amazon ECS doivent comporter des modes réseau et des définitions d'utilisateur sécurisés. | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | |
Changement déclenché |
| ECS.2 | Aucune adresse IP publique ne doit être attribuée automatiquement aux services ECS. | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | |
Changement déclenché |
| ECS.3 | Les définitions de tâches ECS ne doivent pas partager l'espace de noms de processus de l'hôte | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | |
Changement déclenché |
| ECS.4 | Les conteneurs ECS doivent fonctionner comme des conteneurs non privilégiés | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | |
Changement déclenché |
| ECS.5 | Les conteneurs ECS doivent être limités à l'accès en lecture seule aux systèmes de fichiers racines | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | |
Changement déclenché |
| ECS.8 | Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | |
Changement déclenché |
| ECS.9 | Les définitions de tâches ECS doivent avoir une configuration de journalisation | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | |
Changement déclenché |
| ECS.10 | Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| ECS.12 | Les clusters ECS doivent utiliser Container Insights | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| ECS.13 | Les services ECS doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| ECS.14 | Les clusters ECS doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| ECS.15 | Les définitions de tâches ECS doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| ECS.16 | Les ensembles de tâches ECS ne doivent pas attribuer automatiquement d'adresses IP publiques | AWSBonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | Changement déclenché | |
| ECS.17 | Les définitions de tâches ECS ne doivent pas utiliser le mode réseau hôte | NIST SP 800-53 Rév. 5 | MOYEN | Changement déclenché | |
| ECS.18 | Les définitions de tâches ECS doivent utiliser le chiffrement en transit pour les volumes EFS | AWSBonnes pratiques de sécurité fondamentales | MOYEN | Changement déclenché | |
| ECS.19 | Les fournisseurs de capacité ECS doivent avoir activé la protection des terminaisons gérée | AWSBonnes pratiques de sécurité fondamentales | MOYEN | Changement déclenché | |
| ECS.20 | Les définitions de tâches ECS doivent configurer les utilisateurs non root dans les définitions de conteneurs Linux | AWSBonnes pratiques de sécurité fondamentales | MOYEN | Changement déclenché | |
| ECS.21 | Les définitions de tâches ECS doivent configurer les utilisateurs non administrateurs dans les définitions de conteneurs Windows | AWSBonnes pratiques de sécurité fondamentales | MOYEN | Changement déclenché | |
| EFS.1 | Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, Meilleures pratiques de sécurité de base v1.0.0AWS, NIST SP 800-53 Rev. 5 | MOYEN | |
Périodique |
| EFS.2 | Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Périodique |
| EFS.3 | Les points d'accès EFS doivent appliquer un répertoire racine | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| EFS.4 | Les points d'accès EFS doivent renforcer l'identité de l'utilisateur | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| EFS.5 | Les points d'accès EFS doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| EFS.6 | Les cibles de montage EFS ne doivent pas être associées à des sous-réseaux qui attribuent des adresses IP publiques au lancement | AWSBonnes pratiques de sécurité fondamentales | MOYEN | Périodique | |
| EFS.7 | Les sauvegardes automatiques des systèmes de fichiers EFS doivent être activées | AWSBonnes pratiques de sécurité fondamentales | MOYEN | Changement déclenché | |
| EFS.8 | Les systèmes de fichiers EFS doivent être chiffrés au repos | CIS AWS Foundations Benchmark v5.0.0, meilleures pratiques de AWS sécurité de base | MOYEN | Changement déclenché | |
| EKS.1 | Les points de terminaison du cluster EKS ne doivent pas être accessibles au public | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | |
Périodique |
| EKS.2 | Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | |
Changement déclenché |
| EKS 3 | Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | Périodique | |
| EKS 6 | Les clusters EKS doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| EKS 7 | Les configurations du fournisseur d'identité EKS doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| EKS.8 | La journalisation des audits doit être activée sur les clusters EKS | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| ElastiCache1. | ElastiCache Les sauvegardes automatiques des clusters (Redis OSS) doivent être activées | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | Périodique | |
| ElastiCache2. | ElastiCache les mises à niveau automatiques des versions mineures doivent être activées sur les clusters | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | |
Périodique |
| ElastiCache3. | ElastiCache le basculement automatique doit être activé pour les groupes de réplication | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Périodique |
| ElastiCache4. | ElastiCache les groupes de réplication doivent être encrypted-at-rest | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Périodique |
| ElastiCache5. | ElastiCache les groupes de réplication doivent être encrypted-in-transit | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Périodique |
| ElastiCache6. | ElastiCache Les groupes de réplication (Redis OSS) des versions antérieures doivent avoir Redis OSS AUTH activé | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Périodique |
| ElastiCache7. | ElastiCache les clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | |
Périodique |
| ElasticBeanstalk1. | Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | |
Changement déclenché |
| ElasticBeanstalk2. | Les mises à jour de la plateforme gérée Elastic Beanstalk doivent être activées | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | |
Changement déclenché |
| ElasticBeanstalk3. | Elastic Beanstalk devrait diffuser les logs vers CloudWatch | AWSBonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | |
Changement déclenché |
| ELB.1 | Application Load Balancer doit être configuré pour rediriger toutes les requêtes HTTP vers HTTPS | AWSBonnes pratiques de sécurité de base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | MOYEN | |
Périodique |
| ELB.2 | Les équilibreurs de charge classiques avec SSL/HTTPS écouteurs doivent utiliser un certificat fourni par AWS Certificate Manager | AWSBonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MOYEN | |
Changement déclenché |
| ELB.3 | Les écouteurs Classic Load Balancer doivent être configurés avec une terminaison HTTPS ou TLS | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| ELB.4 | Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| ELB.5 | La journalisation des applications et des équilibreurs de charge classiques doit être activée | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| ELB.6 | La protection contre les suppressions doit être activée sur les équilibreurs de charge des applications, des passerelles et du réseau | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | Changement déclenché | |
| ELB.7 | Le drainage des connexions doit être activé sur les équilibreurs de charge classiques | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | |
Changement déclenché |
| ELB.8 | Les équilibreurs de charge classiques dotés d'écouteurs SSL doivent utiliser une politique de sécurité prédéfinie dotée d'une configuration solide | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| ELB.9 | L'équilibrage de charge entre zones doit être activé sur les équilibreurs de charge classiques | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| ELB.10 | Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| ELB.12 | Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| ELB.13 | Les équilibreurs de charge des applications, du réseau et des passerelles doivent couvrir plusieurs zones de disponibilité | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| ELB.14 | Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| ELB.16 | Les équilibreurs de charge d'application doivent être associés à une ACL AWS Web WAF | NIST SP 800-53 Rév. 5 | MOYEN | |
Changement déclenché |
| ELB.17 | Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| ELB.18 | Les auditeurs d'applications et de Network Load Balancer doivent utiliser des protocoles sécurisés pour chiffrer les données en transit | AWSBonnes pratiques de sécurité de base v1.0.0 | MOYEN | Changement déclenché | |
| EMR.1 | Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | Périodique | |
| EMR 2 | Le paramètre de blocage de l'accès public à Amazon EMR doit être activé | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRITIQUE | Périodique | |
| EMR 3 | Les configurations de sécurité Amazon EMR doivent être chiffrées au repos | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | Changement déclenché | |
| EMR 4 | Les configurations de sécurité Amazon EMR doivent être cryptées pendant le transport | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | Changement déclenché | |
| ES.1 | Le chiffrement au repos doit être activé dans les domaines Elasticsearch | AWSBonnes pratiques de sécurité de base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | MOYEN | |
Périodique |
| ES.2 | Les domaines Elasticsearch ne doivent pas être accessibles au public | AWSBonnes pratiques de sécurité de base, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 Rev. 5 | CRITIQUE | |
Périodique |
| ES.3 | Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| ES.4 | La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| ES.5 | La journalisation des audits doit être activée dans les domaines Elasticsearch | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| ES.6 | Les domaines Elasticsearch doivent comporter au moins trois nœuds de données | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| ES.7 | Les domaines Elasticsearch doivent être configurés avec au moins trois nœuds maîtres dédiés | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| ES.8 | Les connexions aux domaines Elasticsearch doivent être chiffrées à l'aide de la dernière politique de sécurité TLS | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | Changement déclenché | |
| ES.9 | Les domaines Elasticsearch doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| EventBridge2. | EventBridge les bus d'événements doivent être étiquetés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| EventBridge3. | EventBridge les bus d'événements personnalisés doivent être associés à une politique basée sur les ressources | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BAS | |
Changement déclenché |
| EventBridge4. | EventBridge la réplication des événements doit être activée sur les points de terminaison globaux | NIST SP 800-53 Rév. 5 | MOYEN | |
Changement déclenché |
| FraudDetector1. | Les types d'entités Amazon Fraud Detector doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| FraudDetector2. | Les étiquettes Amazon Fraud Detector doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| FraudDetector3. | Les résultats d'Amazon Fraud Detector doivent être étiquetés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| FraudDetector4. | Les variables Amazon Fraud Detector doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| FSx1. | FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes et les volumes | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | |
Périodique |
| FSx2. | FSx pour Lustre, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | BAS | Périodique | |
| FSx3. | FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ | AWSBonnes pratiques de sécurité fondamentales | MOYEN | Périodique | |
| FSx4. | FSx pour les systèmes de fichiers NetApp ONTAP doivent être configurés pour un déploiement multi-AZ | AWSBonnes pratiques de sécurité fondamentales | MOYEN | Périodique | |
| FSx5. | FSx pour Windows File Server, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ | AWSBonnes pratiques de sécurité fondamentales | MOYEN | Périodique | |
| Colle.1 | AWS Glueles emplois doivent être étiquetés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Colle.3 | AWS Glueles transformations de machine learning doivent être cryptées au repos | AWSBonnes pratiques de sécurité fondamentales | MOYEN | Changement déclenché | |
| Colle.4 | AWS GlueLes tâches Spark doivent s'exécuter sur les versions prises en charge de AWS Glue | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | Changement déclenché | |
| GlobalAccelerator1. | Les accélérateurs Global Accelerator doivent être étiquetés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| GuardDuty1. | GuardDuty doit être activé | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | ÉLEVÉ | |
Périodique |
| GuardDuty2. | GuardDuty les filtres doivent être étiquetés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| GuardDuty3. | GuardDuty IPSets doit être étiqueté | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| GuardDuty4. | GuardDuty les détecteurs doivent être étiquetés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| GuardDuty5. | GuardDuty La surveillance du journal d'audit EKS doit être activée | AWSBonnes pratiques de sécurité fondamentales | ÉLEVÉ | Périodique | |
| GuardDuty6. | GuardDuty La protection Lambda doit être activée | AWSBonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | Périodique | |
| GuardDuty7. | GuardDuty La surveillance du temps d'exécution EKS doit être activée | AWSBonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | Périodique | |
| GuardDuty8. | GuardDuty La protection contre les logiciels malveillants EC2 doit être activée | AWSBonnes pratiques de sécurité fondamentales | ÉLEVÉ | Périodique | |
| GuardDuty9. | GuardDuty La protection RDS doit être activée | AWSBonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | Périodique | |
| GuardDuty.10 | GuardDuty La protection S3 doit être activée | AWSBonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | Périodique | |
| GuardDuty.11 | GuardDuty La surveillance du temps d'exécution doit être activée | AWSBonnes pratiques de sécurité fondamentales | ÉLEVÉ | Périodique | |
| GuardDuty.12 | GuardDuty La surveillance du temps d'exécution ECS doit être activée | AWSBonnes pratiques de sécurité fondamentales | MOYEN | Périodique | |
| GuardDuty.13 | GuardDuty EC2 La surveillance du temps d'exécution doit être activée | AWSBonnes pratiques de sécurité fondamentales | MOYEN | Périodique | |
| IAM.1 | Les politiques IAM ne doivent pas autoriser des privilèges administratifs « * » complets | CIS AWS Foundations Benchmark v1.2.0, meilleures pratiques de sécurité AWS de base v1.0.0, PCI DSS v3.2.1, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | ÉLEVÉ | |
Changement déclenché |
| IAM.2 | Les utilisateurs IAM ne doivent pas être associés à des politiques IAM | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, Meilleures pratiques de sécurité de AWS base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | BAS | |
Changement déclenché |
| IAM.3 | Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, meilleures pratiques de sécurité de AWS base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 AWS | MOYEN | |
Périodique |
| IAM.4 | La clé d'accès de l'utilisateur root IAM ne doit pas exister | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Meilleures pratiques de sécurité de base v1.0.0, AWS PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 AWS | CRITIQUE | |
Périodique |
| IAM.5 | La MFA doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, meilleures pratiques de sécurité de AWS base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 AWS | MOYEN | |
Périodique |
| IAM.6 | Le MFA matériel doit être activé pour l'utilisateur root | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, meilleures pratiques de sécurité de AWS base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 AWS | CRITIQUE | |
Périodique |
| IAM.7 | Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MOYEN | |
Périodique |
| IAM.8 | Les informations d'identification utilisateur IAM non utilisées doivent être supprimées | CIS AWS Foundations Benchmark v1.2.0, meilleures pratiques de sécurité AWS de base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | MOYEN | |
Périodique |
| IAM.9 | La MFA doit être activée pour l'utilisateur root | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 AWS | CRITIQUE | |
Périodique |
| JE SUIS 10 | Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte | NIST SP 800-171 Rév. 2, PCI DSS v3.2.1 | MOYEN | |
Périodique |
| IAM.11 | Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule | CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MOYEN | |
Périodique |
| IAM.12 | Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule | CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MOYEN | |
Périodique |
| IAM.13 | Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole | CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | MOYEN | |
Périodique |
| IAM.14 | Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre | CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MOYEN | |
Périodique |
| IAM.15 | Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST AWS SP 800-171 Rev. 2 | MOYEN | |
Périodique |
| IAM.16 | Vérifier que la politique de mot de passe IAM empêche la réutilisation d'un mot de passe | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 AWS | BAS | |
Périodique |
| IAM.17 | Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins | Benchmark CIS AWS Foundations v1.2.0, PCI DSS v4.0.1 | BAS | |
Périodique |
| IAM.18 | Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 AWS | BAS | |
Périodique |
| JE SUIS 19 | La MFA doit être activée pour tous les utilisateurs IAM | NIST SP 800-53 rév. 5, NIST SP 800-171 rév. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | MOYEN | |
Périodique |
| IAM.21 | Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services | AWSBonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | BAS | |
Changement déclenché |
| JE SUIS 22 | Les informations d'identification de l'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-171 Rev. 2 | MOYEN | |
Périodique |
| J'AI 23 ANS | Les analyseurs IAM Access Analyzer doivent être étiquetés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| JE SUIS 24 | Les rôles IAM doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| J'AI 25 ANS | Les utilisateurs IAM doivent être tagués | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| JE SUIS 26 | SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés | Benchmark CIS AWS Foundations v5.0.0, CIS AWS Foundations Benchmark v3.0.0 | MOYEN | Périodique | |
| JE SUIS 27 | La AWSCloud ShellFullAccess politique ne doit pas être attachée aux identités IAM | Benchmark CIS AWS Foundations v5.0.0, CIS AWS Foundations Benchmark v3.0.0 | MOYEN | Changement déclenché | |
| JE SUIS 28 | L'analyseur d'accès externe IAM Access Analyzer doit être activé | Benchmark CIS AWS Foundations v5.0.0, CIS AWS Foundations Benchmark v3.0.0 | ÉLEVÉ | Périodique | |
| Inspecteur.1 | Le EC2 scan Amazon Inspector doit être activé | AWSBonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | Périodique | |
| Inspecteur 2 | Le scan ECR d'Amazon Inspector doit être activé | AWSBonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | Périodique | |
| Inspecteur.3 | La numérisation du code Lambda par Amazon Inspector doit être activée | AWSBonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | Périodique | |
| Inspecteur.4 | Le scan standard Amazon Inspector Lambda doit être activé | AWSBonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | Périodique | |
| IoT.1 | AWS IoT Device Defenderles profils de sécurité doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| IoT 2 | AWS IoT Coreles mesures d'atténuation doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| IoT. 3 | AWS IoT Coreles dimensions doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| IoT 4 | AWS IoT Coreles autorisateurs doivent être étiquetés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Internet des objets 5 | AWS IoT Coreles alias de rôle doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| IoT .6 | AWS IoT Coreles politiques doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Io TEvents 1.1 | AWS IoT Eventsles entrées doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Io TEvents 2.2 | AWS IoT Eventsles modèles de détecteurs doivent être étiquetés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Io TEvents 1.3 | AWS IoT Eventsles modèles d'alarme doivent être étiquetés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Io TSite Wise.1 | AWS IoT SiteWiseles modèles d'actifs doivent être étiquetés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Io TSite Wise.2 | AWS IoT SiteWiseles tableaux de bord doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Io TSite Wise.3 | AWS IoT SiteWiseles passerelles doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Io TSite Wise.4 | AWS IoT SiteWiseles portails doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Io TSite Wise.5 | AWS IoT SiteWiseles projets doivent être étiquetés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Io TTwin Maker.1 | AWSLes tâches de TwinMaker synchronisation de l'IoT doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Io TTwin Maker.2 | AWSLes TwinMaker espaces de travail IoT doivent être étiquetés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Io TTwin Maker.3 | AWSLes TwinMaker scènes IoT doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Io TTwin Maker.4 | AWS TwinMaker Les entités IoT doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Io TWireless 1.1 | AWSLes groupes de multidiffusion IoT Wireless doivent être étiquetés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Io TWireless 2.2 | AWSLes profils de service IoT Wireless doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Io TWireless 1.3 | AWSLes tâches IoT Wireless FUOTA doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| IVS.1 | Les paires de clés de lecture IVS doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| IVS.2 | Les configurations d'enregistrement IVS doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| IVS.3 | Les canaux IVS doivent être étiquetés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Espaces clés. 1 | Les espaces de touches Amazon Keyspaces doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Kinesis.1 | Les flux Kinesis doivent être chiffrés au repos | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| Kinése.2 | Les flux Kinesis doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Kinése.3 | Les flux Kinesis doivent avoir une période de conservation des données adéquate | AWSBonnes pratiques de sécurité fondamentales | MOYEN | Changement déclenché | |
| KMS.1 | Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| KMS.2 | Les principaux IAM ne doivent pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| KMS.3 | AWS KMS keysne doit pas être supprimé par inadvertance | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | CRITIQUE | |
Changement déclenché |
| KMS.4 | AWS KMS keyla rotation doit être activée | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 AWS | MOYEN | |
Périodique |
| KMS 5 | Les clés KMS ne doivent pas être accessibles au public | AWSBonnes pratiques de sécurité fondamentales | CRITIQUE | Changement déclenché | |
| Lambda.1 | Les politiques relatives à la fonction Lambda devraient interdire l'accès public | AWSBonnes pratiques de sécurité de base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRITIQUE | |
Changement déclenché |
| Lambda.2 | Les fonctions Lambda doivent utiliser des environnements d'exécution pris en charge | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| Lambda.3 | Les fonctions Lambda doivent se trouver dans un VPC | PCI DSS v3.2.1, NIST SP 800-53 Rév. 5 | BAS | |
Changement déclenché |
| Lambda.5 | Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| Lambda 6 | Les fonctions Lambda doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Lambda 7 | Le suivi AWS X-Ray actif doit être activé pour les fonctions Lambda | NIST SP 800-53 Rév. 5 | BAS | Changement déclenché | |
| Macie.1 | Amazon Macie devrait être activé | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Périodique |
| Macie 2 | La découverte automatique des données sensibles par Macie doit être activée | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | Périodique | |
| MSK 1 | Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du courtier | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| MSK 2 | Les clusters MSK doivent avoir une surveillance améliorée configurée | NIST SP 800-53 Rév. 5 | BAS | |
Changement déclenché |
| MSK 3 | Les connecteurs MSK Connect doivent être chiffrés pendant le transport | AWSBonnes pratiques de sécurité de base, PCI DSS v4.0.1 | MOYEN | Changement déclenché | |
| MSK 4 | L'accès public aux clusters MSK doit être désactivé | AWSBonnes pratiques de sécurité fondamentales | CRITIQUE | Changement déclenché | |
| MSK 5 | La journalisation des connecteurs MSK doit être activée | AWSBonnes pratiques de sécurité fondamentales | MOYEN | Changement déclenché | |
| MSK.6 | Les clusters MSK doivent désactiver l'accès non authentifié | AWSBonnes pratiques de sécurité fondamentales | MOYEN | Changement déclenché | |
| MQ.2 | Les courtiers ActiveMQ doivent diffuser les journaux d'audit à CloudWatch | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | Changement déclenché | |
| MQ.3 | Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | Changement déclenché | |
| MQ.4 | Les courtiers Amazon MQ doivent être étiquetés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| MQ.5 | Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby | NIST SP 800-53 Rév. 5 | BAS | |
Changement déclenché |
| MQ.6 | Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster | NIST SP 800-53 Rév. 5 | BAS | |
Changement déclenché |
| Neptune.1 | Les clusters de base de données Neptune doivent être chiffrés au repos | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| Neptune.2 | Les clusters de base de données Neptune doivent publier les journaux d'audit dans Logs CloudWatch | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| Neptune.3 | Les instantanés du cluster de base de données Neptune ne doivent pas être publics | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRITIQUE | |
Changement déclenché |
| Neptune.4 | La protection contre la suppression des clusters de base de données Neptune doit être activée | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | |
Changement déclenché |
| Neptune.5 | Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| Neptune.6 | Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| Neptune.7 | L'authentification de base de données IAM doit être activée pour les clusters de base de données Neptune | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| Neptune.8 | Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | |
Changement déclenché |
| Neptune.9 | Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité | NIST SP 800-53 Rév. 5 | MOYEN | |
Changement déclenché |
| NetworkFirewall1. | Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité | NIST SP 800-53 Rév. 5 | MOYEN | |
Changement déclenché |
| NetworkFirewall2. | La journalisation par Network Firewall doit être activée | AWSBonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MOYEN | |
Périodique |
| NetworkFirewall3. | Les politiques de Network Firewall doivent être associées à au moins un groupe de règles | AWSBonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MOYEN | |
Changement déclenché |
| NetworkFirewall4. | L'action apatride par défaut pour les politiques de Network Firewall doit être « drop » ou « forward » pour les paquets complets. | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| NetworkFirewall5. | L'action apatride par défaut pour les politiques de Network Firewall doit être « drop » ou « forward » pour les paquets fragmentés. | AWSBonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MOYEN | |
Changement déclenché |
| NetworkFirewall6. | Le groupe de règles de pare-feu réseau sans état ne doit pas être vide | AWSBonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MOYEN | |
Changement déclenché |
| NetworkFirewall7. | Les pare-feux Network Firewall doivent être étiquetés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| NetworkFirewall8. | Les politiques de pare-feu de Network Firewall doivent être balisées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| NetworkFirewall9. | La protection contre les suppressions doit être activée sur les pare-feux Network Firewall | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| NetworkFirewall.10 | La protection contre les modifications de sous-réseau doit être activée sur les pare-feux Network Firewall | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | Changement déclenché | |
| Opensearch.1 | OpenSearch le chiffrement au repos doit être activé dans les domaines | AWSBonnes pratiques de sécurité de base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| Opensearch.2 | OpenSearch les domaines ne doivent pas être accessibles au public | AWSBonnes pratiques de sécurité de base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRITIQUE | |
Changement déclenché |
| Opensearch.3 | OpenSearch les domaines doivent chiffrer les données envoyées entre les nœuds | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| Opensearch.4 | OpenSearch la journalisation des erreurs de domaine dans CloudWatch Logs doit être activée | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| Opensearch.5 | OpenSearch la journalisation des audits doit être activée pour les domaines | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| Opensearch.6 | OpenSearch les domaines doivent comporter au moins trois nœuds de données | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| Opensearch.7 | OpenSearch le contrôle d'accès détaillé des domaines doit être activé | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | |
Changement déclenché |
| Opensearch.8 | Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | Changement déclenché | |
| OpenSearch.9 | OpenSearch les domaines doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Opensearch.10 | OpenSearch la dernière mise à jour logicielle doit être installée sur les domaines | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| Opensearch.11 | OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés | NIST SP 800-53 Rév. 5 | BAS | Périodique | |
| PCA.1 | AWS CA privéel'autorité de certification racine doit être désactivée | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | |
Périodique |
| PCA.2 | AWSLes autorités de certification privées de l'autorité de certification doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| RDS.1 | L'instantané RDS doit être privé | AWSBonnes pratiques de sécurité de base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRITIQUE | |
Changement déclenché |
| RDS.2 | Les instances de base de données RDS doivent interdire l'accès public, tel que déterminé par la configuration PubliclyAccessible | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, meilleures pratiques de sécurité de AWS base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRITIQUE | |
Changement déclenché |
| RDS.3 | Le chiffrement au repos des instances de base de données RDS doit être activé | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Meilleures pratiques de sécurité de base v1.0.0, AWS NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| RDS.4 | Les instantanés du cluster RDS et les instantanés de base de données doivent être chiffrés au repos | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| RDS.5 | Les instances de base de données RDS doivent être configurées avec plusieurs zones de disponibilité | CIS AWS Foundations Benchmark v5.0.0, meilleures pratiques de sécurité de AWS base v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| RDS.6 | Une surveillance améliorée doit être configurée pour les instances de base de données RDS | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | |
Changement déclenché |
| RDS.7 | La protection contre la suppression des clusters RDS doit être activée | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| RDS.8 | La protection contre la suppression des instances de base de données RDS doit être activée | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | |
Changement déclenché |
| RDS.9 | Les instances de base de données RDS doivent publier les journaux dans Logs CloudWatch | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| RDS.10 | L'authentification IAM doit être configurée pour les instances RDS | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| RDS.11 | Les sauvegardes automatiques doivent être activées sur les instances RDS | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| RDS.12 | L'authentification IAM doit être configurée pour les clusters RDS | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| RDS.13 | Les mises à niveau automatiques des versions mineures de RDS doivent être activées | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, meilleures pratiques de sécurité de AWS base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | |
Changement déclenché |
| RDS.14 | Le retour en arrière doit être activé sur les clusters Amazon Aurora | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| RDS.15 | Les clusters de base de données RDS doivent être configurés pour plusieurs zones de disponibilité | CIS AWS Foundations Benchmark v5.0.0, meilleures pratiques de sécurité de AWS base v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| RDS.16 | Les clusters de base de données Aurora doivent être configurés pour copier des balises dans des instantanés de base de données | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | Changement déclenché | |
| RDS.17 | Les instances de base de données RDS doivent être configurées pour copier des balises dans des instantanés | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | |
Changement déclenché |
| RDS.18 | Les instances RDS doivent être déployées dans un VPC | ÉLEVÉ | |
Changement déclenché | |
| RDS.19 | Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques du cluster | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | |
Changement déclenché |
| RDS.20 | Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques liés aux instances de base de données | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BAS | |
Changement déclenché |
| RDS.21 | Un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques liés aux groupes de paramètres de base de données | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BAS | |
Changement déclenché |
| RDS.22 | Un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques des groupes de sécurité de base de données | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BAS | |
Changement déclenché |
| RDS.23 | Les instances RDS ne doivent pas utiliser de port par défaut du moteur de base de données | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | |
Changement déclenché |
| RDS.24 | Les clusters de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| RDS.25 | Les instances de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| RDS.26 | Les instances de base de données RDS doivent être protégées par un plan de sauvegarde | NIST SP 800-53 Rév. 5 | MOYEN | |
Périodique |
| RDS.27 | Les clusters de base de données RDS doivent être chiffrés au repos | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| RDS.28 | Les clusters de base de données RDS doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| RDS.29 | Les instantanés du cluster de base de données RDS doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| RDS.30 | Les instances de base de données RDS doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| RDS.31 | Les groupes de sécurité de base de données RDS doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| RDS.32 | Les instantanés de base de données RDS doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| RDS.33 | Les groupes de sous-réseaux de base de données RDS doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| RDS.34 | Les clusters de base de données Aurora MySQL doivent publier les journaux d'audit dans CloudWatch Logs | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| RDS.35 | La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| RDS.36 | Les instances de base de données RDS pour PostgreSQL doivent publier les journaux dans Logs CloudWatch | AWSBonnes pratiques de sécurité de base, PCI DSS v4.0.1 | MOYEN | Changement déclenché | |
| RDS.37 | Les clusters de base de données Aurora PostgreSQL doivent publier les journaux dans Logs CloudWatch | AWSBonnes pratiques de sécurité de base, PCI DSS v4.0.1 | MOYEN | Changement déclenché | |
| RDS.38 | Les instances de base de données RDS pour PostgreSQL doivent être chiffrées en transit | AWSBonnes pratiques de sécurité fondamentales | MOYEN | Périodique | |
| RDS.39 | Les instances de base de données RDS pour MySQL doivent être chiffrées pendant le transit | AWSBonnes pratiques de sécurité fondamentales | MOYEN | Périodique | |
| RDS.40 | Les instances de base de données RDS pour SQL Server doivent publier les journaux dans Logs CloudWatch | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | Changement déclenché | |
| RDS.41 | Les instances de base de données RDS pour SQL Server doivent être chiffrées pendant le transit | AWSBonnes pratiques de sécurité fondamentales | MOYEN | Périodique | |
| RDS.42 | Les instances de base de données RDS pour MariaDB doivent publier les journaux dans Logs CloudWatch | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | Périodique | |
| RDS.43 | Les proxys de base de données RDS doivent exiger le chiffrement TLS pour les connexions | AWSBonnes pratiques de sécurité fondamentales | MOYEN | Périodique | |
| RDS 44 | Le RDS pour les instances de base de données MariaDB doit être chiffré pendant le transit | AWSBonnes pratiques de sécurité fondamentales | MOYEN | Périodique | |
| RDS.45 | La journalisation des audits doit être activée sur les clusters de bases de données Aurora MySQL | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | Périodique | |
| RDS.46 | Les instances de base de données RDS ne doivent pas être déployées dans des sous-réseaux publics dotés de routes vers des passerelles Internet | AWSBonnes pratiques de sécurité fondamentales | ÉLEVÉ | Périodique | |
| RDS.47 | Les clusters de base de données RDS pour PostgreSQL doivent être configurés pour copier des balises dans des instantanés de base de données | AWSBonnes pratiques de sécurité fondamentales | BAS | Changement déclenché | |
| RDS.48 | Les clusters de base de données RDS pour MySQL doivent être configurés pour copier des balises dans des instantanés de base de données | AWSBonnes pratiques de sécurité fondamentales | BAS | Changement déclenché | |
| Redshift.1 | Les clusters Amazon Redshift devraient interdire l'accès public | AWSBonnes pratiques de sécurité de base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRITIQUE | |
Changement déclenché |
| Redshift.2 | Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| Redshift.3 | Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| Redshift.4 | La journalisation des audits doit être activée sur les clusters Amazon Redshift | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| Redshift.6 | Amazon Redshift devrait activer les mises à niveau automatiques vers les versions majeures | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| Redshift.7 | Les clusters Redshift doivent utiliser un routage VPC amélioré | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| Redshift.8 | Les clusters Amazon Redshift ne doivent pas utiliser le nom d'utilisateur d'administrateur par défaut | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| Redshift.10 | Les clusters Redshift doivent être chiffrés au repos | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| Redshift.11 | Les clusters Redshift doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Redshift.12 | Les notifications d'abonnement aux événements Redshift doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Redshift.13 | Les instantanés du cluster Redshift doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Redshift.14 | Les groupes de sous-réseaux du cluster Redshift doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Redshift.15 | Les groupes de sécurité Redshift doivent autoriser l'entrée sur le port du cluster uniquement à partir d'origines restreintes | AWSBonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | Périodique | |
| Redshift.16 | Les groupes de sous-réseaux du cluster Redshift doivent comporter des sous-réseaux provenant de plusieurs zones de disponibilité | NIST SP 800-53 Rév. 5 | MOYEN | Changement déclenché | |
| Redshift.17 | Les groupes de paramètres du cluster Redshift doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Redshift.18 | Les déploiements multi-AZ doivent être activés sur les clusters Redshift | AWSBonnes pratiques de sécurité fondamentales | MOYEN | Changement déclenché | |
| RedshiftServerless1. | Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré | AWSBonnes pratiques de sécurité fondamentales | ÉLEVÉ | Périodique | |
| RedshiftServerless2. | Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL | AWSBonnes pratiques de sécurité fondamentales | MOYEN | Périodique | |
| RedshiftServerless3. | Les groupes de travail Redshift Serverless devraient interdire l'accès public | AWSBonnes pratiques de sécurité fondamentales | ÉLEVÉ | Périodique | |
| RedshiftServerless4. | Les espaces de noms Redshift Serverless doivent être chiffrés et gérés par le client AWS KMS keys | NIST SP 800-53 Rév. 5 | MOYEN | Périodique | |
| RedshiftServerless5. | Les espaces de noms Redshift Serverless ne doivent pas utiliser le nom d'utilisateur d'administrateur par défaut | AWSBonnes pratiques de sécurité fondamentales | MOYEN | Périodique | |
| RedshiftServerless6. | Les espaces de noms Redshift Serverless doivent exporter les journaux vers Logs CloudWatch | AWSBonnes pratiques de sécurité fondamentales | MOYEN | Périodique | |
| Itinéraire 53.1 | Les bilans de santé de la Route 53 doivent être étiquetés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Itinéraire 53.2 | Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| S3.1 | Les paramètres de blocage de l'accès public aux compartiments S3 à usage général doivent être activés | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Meilleures pratiques de sécurité de AWS base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | MOYEN | Périodique | |
| S3.2 | Les compartiments S3 à usage général devraient bloquer l'accès public à la lecture | AWSBonnes pratiques de sécurité fondamentales, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRITIQUE | Changement déclenché et périodique | |
| S3.3 | Les compartiments S3 à usage général devraient bloquer l'accès public en écriture | AWSBonnes pratiques de sécurité fondamentales, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | CRITIQUE | Changement déclenché et périodique | |
| S3.5 | Les compartiments S3 à usage général devraient nécessiter des demandes d'utilisation du protocole SSL | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS AWS Foundations Benchmark v1.4.0, Meilleures pratiques de sécurité de base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | MOYEN | Changement déclenché | |
| S3.6 | Les politiques générales relatives aux compartiments S3 devraient restreindre l'accès à d'autres Comptes AWS | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | ÉLEVÉ | Changement déclenché | |
| S3.7 | Les compartiments S3 à usage général doivent utiliser la réplication entre régions | PCI DSS v3.2.1, NIST SP 800-53 Rév. 5 | BAS | Changement déclenché | |
| S3.8 | Les compartiments S3 à usage général devraient bloquer l'accès public | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Meilleures pratiques de sécurité de AWS base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | Changement déclenché | |
| S3.9 | La journalisation des accès au serveur doit être activée dans les compartiments S3 à usage général | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MOYEN | Changement déclenché | |
| S3.10 | Les compartiments S3 à usage général dont la gestion des versions est activée doivent avoir des configurations de cycle de vie | NIST SP 800-53 Rév. 5 | MOYEN | Changement déclenché | |
| S3.11 | Les notifications d'événements doivent être activées dans les compartiments S3 à usage général | NIST SP 800-53 rév. 5, NIST SP 800-171 rév. 2 | MOYEN | Changement déclenché | |
| S3.12 | ACLs ne doit pas être utilisé pour gérer l'accès des utilisateurs aux compartiments S3 à usage général | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | Changement déclenché | |
| S3.13 | Les compartiments S3 à usage général doivent avoir des configurations de cycle de vie | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | BAS | Changement déclenché | |
| S3,14 | La gestion des versions des compartiments S3 à usage général doit être activée | NIST SP 800-53 rév. 5, NIST SP 800-171 rév. 2 | BAS | Changement déclenché | |
| S3,15 | Object Lock doit être activé dans les compartiments S3 à usage général | NIST SP 800-53 Rév. 5, PCI DSS v4.0.1 | MOYEN | Changement déclenché | |
| S3.17 | Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys | NIST SP 800-53 Rév. 5, NIST SP 800-171 Rév. 2, PCI DSS v4.0.1 | MOYEN | Changement déclenché | |
| S3,19 | Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3 | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRITIQUE | Changement déclenché | |
| S3,20 | La suppression MFA doit être activée dans les compartiments S3 à usage général | CIS AWS Foundations Benchmark v5.0.0, CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 | BAS | Changement déclenché | |
| S3,22 | Les compartiments S3 à usage général doivent enregistrer les événements d'écriture au niveau de l'objet | Benchmark CIS AWS Foundations v5.0.0, CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 | MOYEN | Périodique | |
| S3,23 | Les compartiments S3 à usage général doivent enregistrer les événements de lecture au niveau de l'objet | Benchmark CIS AWS Foundations v5.0.0, CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 | MOYEN | Périodique | |
| S3,24 | Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 doivent être activés | AWSBonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | Changement déclenché | |
| S3,25 | Les compartiments d'annuaire S3 doivent avoir des configurations de cycle de vie | AWSBonnes pratiques de sécurité fondamentales | BAS | Changement déclenché | |
| SageMaker1. | Les instances Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet | AWSBonnes pratiques de sécurité de base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | ÉLEVÉ | |
Périodique |
| SageMaker2. | SageMaker les instances de bloc-notes doivent être lancées dans un VPC personnalisé | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | |
Changement déclenché |
| SageMaker3. | Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | |
Changement déclenché |
| SageMaker4. | SageMaker le nombre d'instances initial des variantes de production des terminaux doit être supérieur à 1 | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | Périodique | |
| SageMaker5. | SageMaker l'isolation du réseau doit être activée sur les modèles | AWSBonnes pratiques de sécurité fondamentales | MOYEN | Changement déclenché | |
| SageMaker6. | SageMaker les configurations d'image de l'application doivent être balisées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| SageMaker7. | SageMaker les images doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| SageMaker8. | SageMaker les instances de bloc-notes doivent fonctionner sur les plateformes prises en charge | AWSBonnes pratiques de sécurité fondamentales | MOYEN | Périodique | |
| SecretsManager1. | La rotation automatique des secrets des secrets du Gestionnaire de secrets doit être activée | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| SecretsManager2. | Les secrets de Secrets Manager configurés avec une rotation automatique doivent être correctement pivotés | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| SecretsManager3. | Supprimer les secrets inutilisés de Secrets Manager | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | |
Périodique |
| SecretsManager4. | Les secrets de Secrets Manager doivent faire l'objet d'une rotation dans un délai spécifié | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Périodique |
| SecretsManager5. | Les secrets de Secrets Manager doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| ServiceCatalog1. | Les portefeuilles Service Catalog ne doivent être partagés qu'au sein d'une AWS organisation | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | Périodique | |
| SES.1 | Les listes de contacts SES doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| VOIR. 2 | Les ensembles de configuration SES doivent être étiquetés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| VOIR. 3 | Les ensembles de configuration SES doivent avoir le protocole TLS activé pour l'envoi d'e-mails | AWSBonnes pratiques de sécurité fondamentales | MOYEN | Changement déclenché | |
| SNS.1 | Les sujets SNS doivent être chiffrés au repos à l'aide de AWS KMS | NIST SP 800-53 rév. 5, NIST SP 800-171 rév. 2 | MOYEN | Changement déclenché | |
| SNS.3 | Les sujets SNS doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| SNS.4 | Les politiques d'accès aux rubriques SNS ne doivent pas autoriser l'accès public | AWSBonnes pratiques de sécurité fondamentales | CRITIQUE | Changement déclenché | |
| SQS.1 | Les files d'attente Amazon SQS doivent être chiffrées au repos | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| SQ. 2 | Les files d'attente SQS doivent être balisées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| SQS.3 | Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public | AWSBonnes pratiques de sécurité fondamentales | CRITIQUE | Changement déclenché | |
| SSM.1 | EC2 les instances doivent être gérées par AWS Systems Manager | AWSBonnes pratiques de sécurité de base v1.0.0, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| SSM.2 | EC2 les instances gérées par Systems Manager doivent avoir un statut de conformité aux correctifs de COMPLIANT après l'installation d'un correctif | AWSBonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | ÉLEVÉ | |
Changement déclenché |
| SSM.3 | EC2 les instances gérées par Systems Manager doivent avoir le statut de conformité des associations COMPLIANT | AWSBonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | BAS | |
Changement déclenché |
| SSM.4 | Les documents du SSM ne doivent pas être publics | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | CRITIQUE | |
Périodique |
| SSM.5 | Les documents SSM doivent être étiquetés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| SSM.6 | La CloudWatch journalisation de SSM Automation doit être activée | AWSBonnes pratiques de sécurité de base v1.0.0 | MOYEN | Périodique | |
| SSM.7 | Le paramètre de blocage du partage public doit être activé pour les documents SSM | AWSBonnes pratiques de sécurité de base v1.0.0 | CRITIQUE | Périodique | |
| StepFunctions1. | Step Functions : la journalisation doit être activée sur les machines d'état | AWSBonnes pratiques de sécurité de base v1.0.0, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| StepFunctions2. | Les activités de Step Functions doivent être étiquetées | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Transfer.1 | Les flux de travail Transfer Family doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Transfer.2 | Les serveurs Transfer Family ne doivent pas utiliser le protocole FTP pour la connexion des terminaux | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | Périodique | |
| Transférement.3 | La journalisation des connecteurs Transfer Family doit être activée | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | Changement déclenché | |
| Transfer.4 | Les accords Transfer Family devraient être étiquetés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Transfer.5 | Les certificats Transfer Family doivent être étiquetés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Transfer.6 | Les connecteurs Transfer Family doivent être étiquetés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| Transfer.7 | Les profils Transfer Family doivent être balisés | AWSNorme de balisage des ressources | BAS | Changement déclenché | |
| WAF.1 | AWSLa journalisation ACL du WAF Classic Global Web doit être activée | AWSBonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Périodique |
| WAF.2 | AWSLes règles régionales du WAF Classic doivent comporter au moins une condition | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| WAF.3 | AWSLes groupes de règles régionaux WAF Classic doivent avoir au moins une règle | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| WAF.4 | AWSLe site Web régional WAF Classic ACLs doit avoir au moins une règle ou un groupe de règles | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| WAF.6 | AWSLes règles globales du WAF Classic doivent comporter au moins une condition | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| WAF.7 | AWSLes groupes de règles globaux WAF Classic doivent avoir au moins une règle | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| WAF.8 | AWSLe Web mondial WAF Classic ACLs doit avoir au moins une règle ou un groupe de règles | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| WAF.10 | AWSLe Web WAF ACLs doit avoir au moins une règle ou un groupe de règles | AWSBonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| WAF.11 | AWSLa journalisation des ACL Web WAF doit être activée | NIST SP 800-53 Rév. 5, PCI DSS v4.0.1 | BAS | |
Périodique |
| WAF.12 | AWSLes règles WAF doivent avoir les CloudWatch métriques activées | AWSBonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MOYEN | |
Changement déclenché |
| WorkSpaces1. | WorkSpaces les volumes utilisateur doivent être chiffrés au repos | AWSBonnes pratiques de sécurité fondamentales | MOYEN | Changement déclenché | |
| WorkSpaces2. | WorkSpaces les volumes racines doivent être chiffrés au repos | AWSBonnes pratiques de sécurité fondamentales | MOYEN | Changement déclenché |
