NIST SP 800-53, révision 5 dans Security Hub

La publication spéciale 800-53 révision 5 du NIST (NIST SP 800-53 Rev. 5) est un cadre de cybersécurité et de conformité développé par le National Institute of Standards and Technology (NIST), une agence qui fait partie du département du commerce des États-Unis. Ce cadre de conformité fournit un catalogue d'exigences de sécurité et de confidentialité pour protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information et des ressources critiques. Les agences du gouvernement fédéral américain et les sous-traitants doivent se conformer à ces exigences pour protéger leurs systèmes et leurs organisations. Les organisations privées peuvent également utiliser volontairement les exigences comme cadre directeur pour réduire les risques de cybersécurité. Pour plus d'informations sur le framework et ses exigences, consultez le NIST SP 800-53 Rev. 5 dans le NIST Computer Security Resource Center.

AWS Security Hub fournit des contrôles de sécurité qui prennent en charge un sous-ensemble des exigences du NIST SP 800-53 révision 5. Les contrôles effectuent des contrôles de sécurité automatisés pour certaines ressources Services AWS et ressources. Pour activer et gérer ces contrôles, vous pouvez activer le framework NIST SP 800-53 Revision 5 en tant que norme dans Security Hub. Notez que les commandes ne sont pas compatibles avec les exigences du NIST SP 800-53 révision 5 qui nécessitent des vérifications manuelles.

Contrairement à d'autres frameworks, le framework NIST SP 800-53 Revision 5 n'est pas prescriptif quant à la manière dont ses exigences doivent être évaluées. Le cadre fournit plutôt des directives. Dans Security Hub, la norme NIST SP 800-53 Revision 5 et les contrôles reflètent la compréhension de ces directives par le service.

Configuration de l'enregistrement des ressources pour les contrôles qui s'appliquent à la norme

Pour optimiser la couverture et la précision des résultats, il est important d'activer et de configurer l'enregistrement des ressources AWS Config avant d'activer la norme NIST SP 800-53 Revision 5 dans. AWS Security Hub Lorsque vous configurez l'enregistrement des ressources, veillez également à l'activer pour tous les types de AWS ressources contrôlés par les contrôles applicables à la norme. Cela concerne principalement les contrôles dotés d'un type de calendrier déclenché par des modifications. Toutefois, certains contrôles dotés d'un type de calendrier périodique nécessitent également un enregistrement des ressources. Si l'enregistrement des ressources n'est pas activé ou configuré correctement, Security Hub risque de ne pas être en mesure d'évaluer les ressources appropriées et de générer des résultats précis pour les contrôles applicables à la norme.

Pour plus d'informations sur la manière dont Security Hub utilise l'enregistrement des ressources dans AWS Config, consultezActivation et configuration AWS Config pour Security Hub. Pour plus d'informations sur la configuration de l'enregistrement des ressources dans AWS Config, voir Utilisation de l'enregistreur de configuration dans le Guide du AWS Config développeur.

Le tableau suivant indique les types de ressources à enregistrer pour les contrôles qui s'appliquent à la norme NIST SP 800-53 Revision 5 dans Security Hub.

Service AWS	Types de ressources
Amazon API Gateway	AWS::ApiGateway::Stage, AWS::ApiGatewayV2::Stage
AWS AppSync	AWS::AppSync::GraphQLApi
AWS Backup	AWS::Backup::RecoveryPoint
AWS Certificate Manager (ACM)	AWS::ACM::Certificate
AWS CloudFormation	AWS::CloudFormation::Stack
Amazon CloudFront	AWS::CloudFront::Distribution
Amazon CloudWatch	AWS::CloudWatch::Alarm
AWS CodeBuild	AWS::CodeBuild::Project
AWS Database Migration Service (AWS DMS)	AWS::DMS::Endpoint, AWS::DMS::ReplicationInstance, AWS::DMS::ReplicationTask
Amazon DynamoDB	AWS::DynamoDB::Table
Amazon Elastic Compute Cloud (Amazon EC2)	AWS::EC2::ClientVpnEndpoint, AWS::EC2::EIP, AWS::EC2::Instance, AWS::EC2::LaunchTemplate, AWS::EC2::NetworkAcl, AWS::EC2::NetworkInterface, AWS::EC2::SecurityGroup, AWS::EC2::Subnet, AWS::EC2::TransitGateway, AWS::EC2::VPNConnection, AWS::EC2::Volume
Amazon EC2 Auto Scaling	AWS::AutoScaling::AutoScalingGroup, AWS::AutoScaling::LaunchConfiguration
Amazon Elastic Container Registry (Amazon ECR)	AWS::ECR::Repository
Amazon Elastic Container Service (Amazon ECS)	AWS::ECS::Cluster, AWS::ECS::Service, AWS::ECS::TaskDefinition
Amazon Elastic File System (Amazon EFS)	AWS::EFS::AccessPoint
Amazon Elastic Kubernetes Service (Amazon EKS)	AWS::EKS::Cluster
AWS Elastic Beanstalk	AWS::ElasticBeanstalk::Environment
Elastic Load Balancing	AWS::ElasticLoadBalancing::LoadBalancer, AWS::ElasticLoadBalancingV2::Listener, AWS::ElasticLoadBalancingV2::LoadBalancer
Amazon ElasticSearch	AWS::Elasticsearch::Domain
Amazon EMR	AWS::EMR::SecurityConfiguration
Amazon EventBridge	AWS::Events::Endpoint, AWS::Events::EventBus
AWS Glue	AWS::Glue::Job
AWS Identity and Access Management (JE SUIS)	AWS::IAM::Group, AWS::IAM::Policy, AWS::IAM::Role, AWS::IAM::User
AWS Key Management Service (AWS KMS)	AWS::KMS::Alias, AWS::KMS::Key
Amazon Kinesis	AWS::Kinesis::Stream
AWS Lambda	AWS::Lambda::Function
Amazon Managed Streaming for Apache Kafka (Amazon MSK)	AWS::MSK::Cluster
Amazon MQ	AWS::AmazonMQ::Broker
AWS Network Firewall	AWS::NetworkFirewall::Firewall, AWS::NetworkFirewall::FirewallPolicy, AWS::NetworkFirewall::RuleGroup
Amazon OpenSearch Service	AWS::OpenSearch::Domain
Amazon Relational Database Service (Amazon RDS)	AWS::RDS::DBCluster, AWS::RDS::DBClusterSnapshot, AWS::RDS::DBInstance, AWS::RDS::DBSnapshot, AWS::RDS::EventSubscription
Amazon Redshift	AWS::Redshift::Cluster, AWS::Redshift::ClusterSubnetGroup
Amazon Route 53	AWS::Route53::HostedZone
Amazon Simple Storage Service (Amazon S3)	AWS::S3::AccessPoint, AWS::S3::AccountPublicAccessBlock, AWS::S3::Bucket
AWS Service Catalog	AWS::ServiceCatalog::Portfolio
Amazon Simple Notification Service (Amazon SNS)	AWS::SNS::Topic
Amazon Simple Queue Service (Amazon SQS)	AWS::SQS::Queue
Amazon EC2 Systems Manager (SSM)	AWS::SSM::AssociationCompliance, AWS::SSM::ManagedInstanceInventory, AWS::SSM::PatchCompliance
SageMaker IA Amazon	AWS::SageMaker::NotebookInstance
AWS Secrets Manager	AWS::SecretsManager::Secret
AWS Transfer Family	AWS::Transfer::Connector
AWS WAF	AWS::WAF::Rule, AWS::WAF::RuleGroup, AWS::WAF::WebACL, AWS::WAFRegional::Rule, AWS::WAFRegional::RuleGroup, AWS::WAFRegional::WebACL, AWS::WAFv2::RuleGroup, AWS::WAFv2::WebACL

Déterminer quels contrôles s'appliquent à la norme

La liste suivante indique les contrôles qui répondent aux exigences du NIST SP 800-53 révision 5 et s'appliquent à la norme NIST SP 800-53 révision 5 dans. AWS Security Hub Pour plus de détails sur les exigences spécifiques prises en charge par un contrôle, choisissez le contrôle. Reportez-vous ensuite au champ Exigences connexes dans les détails du contrôle. Ce champ indique chaque exigence NIST prise en charge par le contrôle. Si le champ ne spécifie aucune exigence NIST particulière, le contrôle ne prend pas en charge cette exigence.

• [Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS

• [Account.2] Comptes AWS doit faire partie d'une organisation AWS Organizations

• [ACM.1] Les certificats importés et émis par ACM doivent être renouvelés après une période spécifiée

• [APIGateway.1] Le REST d'API Gateway et la journalisation de l'exécution de l' WebSocket API doivent être activés

• [APIGateway.2] Les étapes de l'API REST API Gateway doivent être configurées pour utiliser des certificats SSL pour l'authentification du backend

• [APIGateway.3] Le AWS X-Ray suivi doit être activé sur les étapes de l'API REST d'API Gateway

• [APIGateway.4] L'API Gateway doit être associée à une ACL Web WAF

• [APIGateway.5] Les données du cache de l'API REST API Gateway doivent être chiffrées au repos

• [APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation

• [APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2

• [AppSync.5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés d'API

• [AutoScaling.1] Les groupes Auto Scaling associés à un équilibreur de charge doivent utiliser les contrôles de santé ELB

• [AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité

• [AutoScaling.3] Les configurations de lancement du groupe Auto Scaling doivent configurer les EC2 instances de manière à ce qu'elles nécessitent la version 2 du service de métadonnées d'instance (IMDSv2)

• [Autoscaling.5] Les EC2 instances Amazon lancées à l'aide des configurations de lancement de groupe Auto Scaling ne doivent pas avoir d'adresses IP publiques

• [AutoScaling.6] Les groupes Auto Scaling doivent utiliser plusieurs types d'instances dans plusieurs zones de disponibilité

• [AutoScaling.9] Les groupes Amazon EC2 Auto Scaling doivent utiliser les modèles de EC2 lancement Amazon

• [Backup.1] les points AWS Backup de restauration doivent être chiffrés au repos

• [CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré

• [CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit

• [CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions

• [CloudFront.5] la journalisation des CloudFront distributions doit être activée

• [CloudFront.6] WAF doit être activé sur les CloudFront distributions

• [CloudFront.7] les CloudFront distributions doivent utiliser des certificats SSL/TLS personnalisés

• [CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS

• [CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées

• [CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées

• [CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes

• [CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture

• [CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé

• [CloudTrail.4] La validation du fichier CloudTrail journal doit être activée

• [CloudTrail.5] les CloudTrail sentiers doivent être intégrés à Amazon CloudWatch Logs

• [CloudTrail.10] Les magasins de données sur les événements CloudTrail du lac doivent être chiffrés et gérés par le client AWS KMS keys

• [CloudWatch.15] les CloudWatch alarmes doivent avoir des actions spécifiées configurées

• [CloudWatch.16] les groupes de CloudWatch journaux doivent être conservés pendant une période spécifiée

• [CloudWatch.17] les actions CloudWatch d'alarme doivent être activées

• [CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles

• [CodeBuild.2] les variables d'environnement CodeBuild du projet ne doivent pas contenir d'informations d'identification en texte clair

• [CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés

• [CodeBuild2.4] les environnements de CodeBuild projet doivent avoir une durée de AWS Config journalisation

• [Config.1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources

• [DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos

• [DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques

• [DMS.6] La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication DMS

• [DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée

• [DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée

• [DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL

• [DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS des bases de données Neptune

• [DMS.11] Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé

• [DMS.12] Le protocole TLS doit être activé sur les points de terminaison DMS de Redis OSS

• [DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos

• [DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate

• [DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics

• [DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch

• [DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée

• [DynamoDB.1] Les tables DynamoDB doivent automatiquement adapter la capacité à la demande

• [DynamoDB.2] La restauration des tables DynamoDB doit être activée point-in-time

• [DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos

• [DynamoDB.4] Les tables DynamoDB doivent être présentes dans un plan de sauvegarde

• [DynamoDB.6] La protection contre la suppression des tables DynamoDB doit être activée

• [DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés pendant le transit

• [EC2.1] Les instantanés Amazon EBS ne doivent pas être restaurables publiquement

• [EC2.2] Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant

• [EC2.3] Les volumes Amazon EBS joints doivent être chiffrés au repos

• [EC2.4] Les EC2 instances arrêtées doivent être supprimées après une période spécifiée

• [EC2.6] La journalisation des flux VPC doit être activée dans tous les cas VPCs

• [EC2.7] Le chiffrement par défaut d'EBS doit être activé

• [EC2.8] EC2 les instances doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2

• [EC2.9] EC2 Les instances Amazon ne doivent pas avoir d'adresse publique IPv4

• [EC2.10] Amazon EC2 doit être configuré pour utiliser les points de terminaison VPC créés pour le service Amazon EC2

• [EC2.12] Amazon non utilisé EC2 EIPs doit être supprimé

• [EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22

• [EC2.15] EC2 Les sous-réseaux Amazon ne doivent pas attribuer automatiquement d'adresses IP publiques

• [EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées

• [EC2.17] Les EC2 instances Amazon ne doivent pas utiliser plusieurs ENIs

• [EC2.18] Les groupes de sécurité ne doivent autoriser le trafic entrant illimité que pour les ports autorisés

• [EC2.19] Les groupes de sécurité ne doivent pas autoriser un accès illimité aux ports présentant un risque élevé

• [EC2.20] Les deux tunnels VPN pour une connexion AWS Site-to-Site VPN doivent être actifs

• [EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou 3389

• [EC2.23] Amazon EC2 Transit Gateways ne doit pas accepter automatiquement les demandes de pièces jointes VPC

• [EC2.24] Les types d'instances EC2 paravirtuelles Amazon ne doivent pas être utilisés

• [EC2.25] Les modèles de EC2 lancement Amazon ne doivent pas attribuer de public IPs aux interfaces réseau

• [EC2.28] Les volumes EBS doivent être couverts par un plan de sauvegarde

• [EC2.51] La journalisation des connexions EC2 client doit être activée sur les points de terminaison VPN du client

• [EC2.55] VPCs doit être configuré avec un point de terminaison d'interface pour l'API ECR

• [EC2.56] VPCs doit être configuré avec un point de terminaison d'interface pour Docker Registry

• [EC2.57] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager

• [EC2.58] VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager

• [EC2.60] VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager

• [ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR

• [ECR.2] L'immuabilité des balises doit être configurée dans les référentiels privés ECR

• [ECR.3] Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée

• [ECR.5] Les référentiels ECR doivent être chiffrés et gérés par le client AWS KMS keys

• [ECS.1] Les définitions de tâches Amazon ECS doivent comporter des modes réseau et des définitions d'utilisateur sécurisés

• [ECS.2] Aucune adresse IP publique ne doit être attribuée automatiquement aux services ECS

• [ECS.3] Les définitions de tâches ECS ne doivent pas partager l'espace de noms de processus de l'hôte

• [ECS.4] Les conteneurs ECS doivent fonctionner comme des conteneurs non privilégiés

• [ECS.5] Les conteneurs ECS devraient être limités à l'accès en lecture seule aux systèmes de fichiers racine

• [ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur

• [ECS.9] Les définitions de tâches ECS doivent avoir une configuration de journalisation

• [ECS.10] Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate

• [ECS.12] Les clusters ECS doivent utiliser Container Insights

• [ECS.17] Les définitions de tâches ECS ne doivent pas utiliser le mode réseau hôte

• [EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS

• [EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde

• [EFS.3] Les points d'accès EFS devraient imposer un répertoire racine

• [EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur

• [EFS.6] Les cibles de montage EFS ne doivent pas être associées à un sous-réseau public

• [EKS.1] Les points de terminaison du cluster EKS ne doivent pas être accessibles au public

• [EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge

• [EKS.3] Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés

• [EKS.8] La journalisation des audits doit être activée sur les clusters EKS

• [ElastiCache.1] Les sauvegardes automatiques des clusters ElastiCache (Redis OSS) doivent être activées

• [ElastiCache.2] les mises à niveau automatiques des versions mineures doivent être activées sur les ElastiCache clusters

• [ElastiCache.3] Le basculement automatique doit être activé pour les groupes de ElastiCache réplication

• [ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos

• [ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport

• [ElastiCache.6] ElastiCache (Redis OSS) des groupes de réplication des versions antérieures doivent avoir Redis OSS AUTH activé

• [ElastiCache.7] les ElastiCache clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut

• [ElasticBeanstalk.1] Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés

• [ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées

• [ELB.1] Application Load Balancer doit être configuré pour rediriger toutes les requêtes HTTP vers HTTPS

• [ELB.2] Les équilibreurs de charge classiques dotés d'écouteurs SSL/HTTPS doivent utiliser un certificat fourni par AWS Certificate Manager

• [ELB.3] Les écouteurs Classic Load Balancer doivent être configurés avec une terminaison HTTPS ou TLS

• [ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP non valides

• [ELB.5] La journalisation des applications et des équilibreurs de charge classiques doit être activée

• [ELB.6] La protection contre les suppressions doit être activée sur les équilibreurs de charge des applications, des passerelles et du réseau

• [ELB.7] Le drainage des connexions doit être activé sur les équilibreurs de charge classiques

• [ELB.8] Les équilibreurs de charge classiques dotés d'écouteurs SSL doivent utiliser une politique de sécurité prédéfinie d'une durée élevée AWS Config

• [ELB.9] L'équilibrage de charge entre zones doit être activé sur les Classic Load Balancers

• [ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité

• [ELB.12] Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict

• [ELB.13] Les équilibreurs de charge des applications, des réseaux et des passerelles doivent couvrir plusieurs zones de disponibilité

• [ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict

• [ELB.16] Les équilibreurs de charge d'application doivent être associés à une ACL Web AWS WAF

• [ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées

• [EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques

• [EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé

• [EMR.3] Les configurations de sécurité Amazon EMR doivent être chiffrées au repos

• [EMR.4] Les configurations de sécurité d'Amazon EMR doivent être cryptées pendant le transport

• [ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch

• [ES.2] Les domaines Elasticsearch ne doivent pas être publiquement accessibles

• [ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds

• [ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée

• [ES.5] La journalisation des audits doit être activée dans les domaines Elasticsearch

• [ES.6] Les domaines Elasticsearch doivent comporter au moins trois nœuds de données

• [ES.7] Les domaines Elasticsearch doivent être configurés avec au moins trois nœuds maîtres dédiés

• [ES.8] Les connexions aux domaines Elasticsearch doivent être chiffrées conformément à la dernière politique de sécurité TLS

• [EventBridge.3] les bus d'événements EventBridge personnalisés doivent être associés à une politique basée sur les ressources

• [EventBridge.4] la réplication des événements doit être activée sur les points de terminaison EventBridge globaux

• [FSx.1] FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes et les volumes

• [FSx.2] FSx pour Lustre, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes

• [Glue.4] Les tâches AWS Glue Spark doivent s'exécuter sur les versions prises en charge de AWS Glue

• [GuardDuty.1] GuardDuty doit être activé

• [IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges d'administrateur « * » complets

• [IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM

• [IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins

• [IAM.4] La clé d'accès d'utilisateur IAM root ne devrait pas exister

• [IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console

• [IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine

• [IAM.7] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte

• [IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées

• [IAM.9] La MFA doit être activée pour l'utilisateur root

• [IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM

• [IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services

• [Kinesis.1] Les flux Kinesis doivent être chiffrés au repos

• [KMS.1] Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS

• [KMS.2] Les principaux IAM ne devraient pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS

• [KMS.3] ne AWS KMS keys doit pas être supprimé par inadvertance

• La rotation des AWS KMS touches [KMS.4] doit être activée

• [Lambda.1] Les politiques relatives à la fonction Lambda devraient interdire l'accès public

• [Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge

• [Lambda.3] Les fonctions Lambda doivent se trouver dans un VPC

• [Lambda.5] Les fonctions Lambda VPC doivent fonctionner dans plusieurs zones de disponibilité

• [Macie.1] Amazon Macie devrait être activé

• [Macie.2] La découverte automatique des données sensibles par Macie doit être activée

• [MSK.1] Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du broker

• [MSK.2] La surveillance améliorée des clusters MSK doit être configurée

• [MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch

• [MQ.3] Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures

• [MQ.5] Les courtiers ActiveMQ doivent utiliser le mode de déploiement actif/en veille

• [MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster

• [Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos

• [Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch

• [Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics

• [Neptune.4] La protection contre la suppression des clusters de base de données Neptune doit être activée

• [Neptune.5] Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées

• [Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos

• [Neptune.7] L'authentification de base de données IAM doit être activée sur les clusters de base de données Neptune

• [Neptune.8] Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés

• [Neptune.9] Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité

• [NetworkFirewall.1] Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité

• [NetworkFirewall.2] La journalisation du Network Firewall doit être activée

• [NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles

• [NetworkFirewall.4] L'action apatride par défaut pour les politiques de Network Firewall doit être « drop » ou « forward » pour les paquets complets.

• [NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être « drop » ou « forward » pour les paquets fragmentés.

• [NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide

• [NetworkFirewall.9] La protection contre la suppression des pare-feux Network Firewall doit être activée

• [NetworkFirewall.10] La protection contre les modifications de sous-réseau doit être activée sur les pare-feux Network Firewall

• Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]

• Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public

• [Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds

• [Opensearch.4] La journalisation des erreurs de OpenSearch domaine dans CloudWatch Logs doit être activée

• [Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines

• Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données

• Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé

• [Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées en utilisant la dernière politique de sécurité TLS

• Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée

• [Opensearch.11] OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés

• [PCA.1] L'autorité de certification AWS Private CA racine doit être désactivée

• [RDS.1] L'instantané RDS doit être privé

• [RDS.2] Les instances de base de données RDS doivent interdire l'accès public, tel que déterminé par la configuration PubliclyAccessible

• [RDS.3] Le chiffrement au repos doit être activé pour les instances DB RDS

• [RDS.4] Les instantanés du cluster RDS et les instantanés de base de données doivent être chiffrés au repos

• [RDS.5] Les instances de base de données RDS doivent être configurées avec plusieurs zones de disponibilité

• [RDS.6] Une surveillance améliorée doit être configurée pour les instances de base de données RDS

• [RDS.7] La protection contre la suppression des clusters RDS doit être activée

• [RDS.8] La protection contre la suppression des instances de base de données RDS doit être activée

• [RDS.9] Les instances de base de données RDS doivent publier les journaux dans Logs CloudWatch

• [RDS.10] L'authentification IAM doit être configurée pour les instances RDS

• [RDS.11] Les sauvegardes automatiques doivent être activées sur les instances RDS

• [RDS.12] L'authentification IAM doit être configurée pour les clusters RDS

• [RDS.13] Les mises à niveau automatiques des versions mineures de RDS devraient être activées

• [RDS.14] Le retour en arrière devrait être activé sur les clusters Amazon Aurora

• [RDS.15] Les clusters de base de données RDS doivent être configurés pour plusieurs zones de disponibilité

• [RDS.16] Les clusters de base de données RDS doivent être configurés pour copier des balises dans des instantanés

• [RDS.17] Les instances de base de données RDS doivent être configurées pour copier des balises dans des instantanés

• [RDS.19] Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques du cluster

• [RDS.20] Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques relatifs aux instances de base de données

• [RDS.21] Un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques de groupes de paramètres de base de données

• [RDS.22] Un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques des groupes de sécurité de base de données

• [RDS.23] Les instances RDS ne doivent pas utiliser le port par défaut d'un moteur de base de données

• [RDS.24] Les clusters de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé

• [RDS.25] Les instances de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé

• [RDS.26] Les instances de base de données RDS doivent être protégées par un plan de sauvegarde

• [RDS.27] Les clusters de base de données RDS doivent être chiffrés au repos

• [RDS.34] Les clusters de base de données Aurora MySQL doivent publier les journaux d'audit dans Logs CloudWatch

• [RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée

• [RDS.40] Les instances de base de données RDS pour SQL Server doivent publier les journaux dans Logs CloudWatch

• [RDS.42] Les instances de base de données RDS pour MariaDB devraient publier les journaux dans Logs CloudWatch

• [Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public

• [Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit

• [Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift

• [Redshift.4] La journalisation des audits doit être activée sur les clusters Amazon Redshift

• [Redshift.6] Amazon Redshift devrait activer les mises à niveau automatiques vers les versions majeures

• [Redshift.7] Les clusters Redshift doivent utiliser un routage VPC amélioré

• [Redshift.8] Les clusters Amazon Redshift ne doivent pas utiliser le nom d'utilisateur d'administrateur par défaut

• [Redshift.9] Les clusters Redshift ne doivent pas utiliser le nom de base de données par défaut

• [Redshift.10] Les clusters Redshift doivent être chiffrés au repos

• [RedshiftServerless.4] Les espaces de noms Redshift Serverless doivent être chiffrés et gérés par le client AWS KMS keys

• [RedshiftServerless.7] Les espaces de noms Redshift Serverless ne doivent pas utiliser le nom de base de données par défaut

• [Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS

• [S3.1] Les paramètres de blocage de l'accès public doivent être activés sur les compartiments S3 pour usage général.

• [S3.2] Les compartiments à usage général S3 devraient bloquer l'accès public à la lecture

• [S3.3] Les compartiments à usage général S3 devraient bloquer l'accès public en écriture

• [S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation du protocole SSL

• [S3.6] Les politiques générales relatives aux compartiments S3 devraient restreindre l'accès à d'autres Comptes AWS

• [S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions

• [S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public

• [S3.9] La journalisation des accès au serveur doit être activée dans les compartiments S3 à usage général

• [S3.10] Les compartiments S3 à usage général avec la gestion des versions activée doivent avoir des configurations de cycle de vie

• [S3.11] Les notifications d'événements devraient être activées dans les compartiments S3 à usage général

• [S3.12] ne ACLs doit pas être utilisé pour gérer l'accès des utilisateurs aux compartiments S3 à usage général

• [S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie

• [S3.14] La gestion des versions des compartiments S3 à usage général devrait être activée

• [S3.15] Object Lock doit être activé dans les compartiments S3 à usage général

• [S3.17] Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys

• [S3.19] Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3 pour les configurer

• [S3.20] La suppression MFA des compartiments S3 à usage général doit être activée

• [SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet

• [SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé

• [SageMaker.3] Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes

• [SageMaker.4] Le nombre d'instances initial des variantes de production des SageMaker terminaux doit être supérieur à 1

• [SecretsManager.1] La rotation automatique des secrets de Secrets Manager doit être activée

• [SecretsManager.2] Les secrets de Secrets Manager configurés avec une rotation automatique devraient être correctement pivotés

• [SecretsManager.3] Supprimer les secrets inutilisés du Gestionnaire de Secrets Manager

• [SecretsManager.4] Les secrets de Secrets Manager doivent être renouvelés dans un délai spécifié

• [ServiceCatalog.1] Les portefeuilles de Service Catalog ne doivent être partagés qu'au sein d'une AWS organisation

• [SNS.1] Les sujets SNS doivent être chiffrés au repos à l'aide de AWS KMS

• [SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos

• [SSM.1] Les EC2 instances Amazon doivent être gérées par AWS Systems Manager

• [SSM.2] EC2 Les instances Amazon gérées par Systems Manager doivent avoir un statut de conformité aux correctifs de COMPLIANT après l'installation d'un correctif

• [SSM.3] EC2 Les instances Amazon gérées par Systems Manager doivent avoir le statut de conformité des associations COMPLIANT

• [SSM.4] Les documents du SSM ne doivent pas être publics

• [Transfer.2] Les serveurs Transfer Family ne doivent pas utiliser le protocole FTP pour la connexion des terminaux

• [Transfer.3] La journalisation des connecteurs Transfer Family doit être activée

• [WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée

• [WAF.2] Les règles régionales AWS WAF classiques doivent comporter au moins une condition

• [WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle

• [WAF.4] Le Web régional AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles

• [WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition

• [WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle

• [WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles

• [WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles

• [WAF.11] La journalisation des ACL AWS WAF Web doit être activée

• Les AWS WAF règles [WAF.12] doivent avoir des métriques activées CloudWatch