Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Meilleures pratiques opérationnelles pour CIS AWS Foundations Benchmark v1.4 niveau 1
Les packs de conformité fournissent un cadre de conformité à usage général conçu pour vous permettre de créer des contrôles de gouvernance en matière de sécurité, d'exploitation ou d'optimisation des coûts à l'aide de AWS Config règles gérées ou personnalisées et d'actions correctives. AWS Config Les packs de conformité, en tant qu'exemples de modèle, ne sont pas conçus pour garantir pleinement la conformité à une norme de gouvernance ou de conformité spécifique. Il vous incombe de déterminer vous-même si votre utilisation des services est conforme aux exigences légales et réglementaires applicables.
Vous trouverez ci-dessous un exemple de mappage entre le Center for Internet Security (CIS) Amazon Web Services Foundation v1.4 Level 1 et les règles de AWS Config/Process Checks AWS Config gérées. Chaque règle de configuration s'applique à une AWS ressource spécifique et concerne un ou plusieurs contrôles CIS Amazon Web Services Foundation v1.4 de niveau 1. Un contrôle CIS Amazon Web Services Foundation v1.4 de niveau 1 peut être associé à plusieurs règles de configuration. Reportez-vous au tableau ci-dessous pour obtenir plus de détails et des conseils relatifs à ces mappages.
Pour plus d'informations sur les vérifications de processus, consultez process-checks.
| ID du contrôle | Description du contrôle | AWS Règle de configuration | Conseils |
|---|---|---|---|
| 1.1 | Conserver les informations de contact actuelles | account-contact-details-configured (vérification du processus) | Assurez-vous que l'adresse e-mail et le numéro de téléphone des comptes AWS sont à jour et correspondent à plusieurs personnes au sein de votre organisation. Dans la section Mon compte de la console, assurez-vous que les informations correctes sont spécifiées dans la section Informations de contact. Pour plus de détails sur l'audit de ce contrôle, veuillez consulter le document CIS Amazon Web Services Foundations Benchmark version 1.4.0 disponible à l'adresse https://www.cisecurity. org/benchmark/amazon_services_web/ |
| 1.2 | Vérifier que les informations de contact de sécurité sont enregistrées | account-security-contact-configured (Vérification du processus) | Assurez-vous que l'adresse e-mail et le numéro de téléphone de l'équipe de sécurité de votre organisation sont à jour. Dans la section Mon compte de la console de AWS gestion, assurez-vous que les informations correctes sont spécifiées dans la section Sécurité. Pour plus de détails sur l'audit de ce contrôle, veuillez consulter le document CIS Amazon Web Services Foundations Benchmark version 1.4.0 disponible à l'adresse https://www.cisecurity. org/benchmark/amazon_services_web/ |
| 1.4 | Vérifier qu'il n'existe aucune clé d'accès d'utilisateur root | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité. | |
| 1.5 | Vérifier que la MFA est activée pour l'utilisateur root | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant le MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
| 1,7 | Éliminer le recours à l'utilisateur root pour les tâches administratives et quotidiennes | root-account-regular-use (Vérification du processus) | Veillez à ce que le compte root ne soit pas utilisé pour les tâches quotidiennes. Dans IAM, exécutez un rapport sur les informations d'identification pour vérifier quand l'utilisateur root a été utilisé pour la dernière fois. Pour plus de détails sur l'audit de ce contrôle, veuillez consulter le document CIS Amazon Web Services Foundations Benchmark version 1.4.0 disponible à l'adresse https://www.cisecurity. org/benchmark/amazon_services_web/ |
| 1.8 | Vérifier que la politique de mot de passe IAM exige un mot de passe d'au moins 14 caractères | Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 1.9 | Vérifier que la politique de mot de passe IAM empêche la réutilisation d'un mot de passe | Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 1.10 | Vérifier que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs dotés d'un mot de passe de console | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles. | |
| 1.11 | Ne pas configurer des clés d'accès au cours de la configuration initiale de tous les utilisateurs qui ont un mot de passe de console | iam-user-console-and- api-access-at-creation (Vérification du processus) | Vérifiez qu'aucune clé d'accès n'est configurée au cours de la configuration initiale de tous les utilisateurs qui ont un mot de passe de console. Pour tous les utilisateurs ayant accès à la console, comparez l'heure de création de l'utilisateur à la date de création de la clé d'accès. Pour plus de détails sur l'audit de ce contrôle, veuillez consulter le document CIS Amazon Web Services Foundations Benchmark version 1.4.0 disponible à l'adresse https://www.cisecurity. org/benchmark/amazon_services_web/ |
| 1.12 | Vérifier que les informations d'identification inutilisées depuis 45 jours ou plus sont désactivées | AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir l' maxCredentialUsageâge (valeur standard CIS : 45). La valeur réelle doit refléter les politiques de votre organisation. | |
| 1.13 | Vérifier qu'une seule clé d'accès active est disponible pour chaque utilisateur | iam-user-single-access-key (vérification du processus) | Vérifiez qu'une seule clé d'accès active est disponible pour chaque utilisateur. Pour chaque utilisateur IAM, vérifiez qu'une seule clé active est utilisée dans l'onglet Informations d'identification de sécurité. Pour plus de détails sur l'audit de ce contrôle, veuillez consulter le document CIS Amazon Web Services Foundations Benchmark version 1.4.0 disponible à l'adresse https://www.cisecurity. org/benchmark/amazon_services_web/ |
| 1.14 | Vérifier que les clés d'accès font l'objet d'une rotation tous les 90 jours maximum | Les informations d'identification sont auditées pour les appareils, les utilisateurs et les processus autorisés en veillant à ce que les clés d'accès IAM soient alternées conformément à la politique de l'organisation. La modification régulière des clés d'accès est une bonne pratique de sécurité. Cela permet de raccourcir la période pendant laquelle une clé d'accès est active et de réduire l'impact commercial en cas de compromission des clés. Cette règle nécessite une valeur de rotation des clés d'accès (configuration par défaut : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| 1.15 | Vérifier que les utilisateurs reçoivent des autorisations uniquement par le biais de groupes | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
| 1.15 | Vérifier que les utilisateurs reçoivent des autorisations uniquement par le biais de groupes | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
| 1.15 | Vérifier que les utilisateurs reçoivent des autorisations uniquement par le biais de groupes | AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| 1.16 | Vérifier qu'aucune politique IAM autorisant des privilèges d'administrateur « *:* » complets n'est jointe | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| 1,17 | Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support | AWS Identity and Access Management (IAM) peut vous aider à gérer les autorisations et autorisations d'accès en veillant à ce que les politiques IAM soient attribuées aux utilisateurs, rôles ou groupes appropriés. La restriction de ces politiques intègre également les principes du moindre privilège et de la séparation des tâches. Cette règle nécessite que vous définissiez PolicYarn sur arn:aws:iam : AWSSupport :aws:policy/ Access, pour la gestion des incidents avec Support. AWS | |
| 1,19 | Vérifier que tous les certificats SSL/TLS expirés stockés dans AWS IAM sont supprimés | iam-expired-certificates (Vérification du processus) | Vérifiez que tous les certificats SSL/TLS expirés stockés dans IAM sont supprimés. À partir de la ligne de commande avec la AWS CLI installée, exécutez la commande « AWS iam list-server-certificates » et déterminez s'il existe des certificats de serveur expirés. Pour plus de détails sur l'audit de ce contrôle, veuillez consulter le document CIS Amazon Web Services Foundations Benchmark version 1.4.0 disponible à l'adresse https://www.cisecurity. org/benchmark/amazon_services_web/ |
| 1,20 | Assurez-vous que l'analyseur d'accès AWS IAM est activé | iam-access-analyzer-enabled (Vérification du processus) | Vérifiez que l'analyseur d'accès IAM est activé. Dans la section IAM de la console, sélectionnez Analyseur d'accès et assurez-vous que le STATUT est défini sur Actif. Pour plus de détails sur l'audit de ce contrôle, veuillez consulter le document CIS Amazon Web Services Foundations Benchmark version 1.4.0 disponible à l'adresse https://www.cisecurity. org/benchmark/amazon_services_web/ |
| 2.1.3 | Vérifier que la suppression MFA est activée sur les compartiments S3 | La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. L'ajout de la suppression par authentification multifactorielle (MFA) à un compartiment S3 nécessite un facteur d'authentification supplémentaire afin de modifier l'état de version de votre compartiment ou de supprimer une version d'objet. La suppression MFA peut ajouter un niveau de sécurité supplémentaire en cas d'informations d'identification de sécurité compromises ou d'octroi d'un accès non autorisé. | |
| 2.1.5 | Vérifier que « Bloquer l'accès public (paramètres de compartiment) » est défini pour les compartiments S3 | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 2.1.5 | Vérifier que « Bloquer l'accès public (paramètres de compartiment) » est défini pour les compartiments S3 | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
| 2.2.1 | Vérifier que le chiffrement de volume EBS est activé | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). | |
| 2.2.1 | Vérifier que le chiffrement de volume EBS est activé | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données. | |
| 2.3.1 | Vérifier que le chiffrement est activé pour les instances RDS | Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données. | |
| 2.3.1 | Vérifier que le chiffrement est activé pour les instances RDS | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos dans les instances Amazon RDS, activez le chiffrement au repos pour protéger ces données. | |
| 3.1 | Assurez-vous qu' CloudTrail il est activé dans toutes les régions | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
| 3.3 | Assurez-vous que le compartiment S3 utilisé pour stocker CloudTrail les journaux n'est pas accessible au public | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| 3.3 | Assurez-vous que le compartiment S3 utilisé pour stocker CloudTrail les journaux n'est pas accessible au public | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| 3.3 | Assurez-vous que le compartiment S3 utilisé pour stocker CloudTrail les journaux n'est pas accessible au public | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
| 3.4 | Assurez-vous que les CloudTrail sentiers sont intégrés aux CloudWatch journaux | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS. | |
| 3.6 | Assurez-vous que la journalisation des accès au compartiment S3 est activée sur le compartiment CloudTrail S3 | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
| 4.1 | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les appels d'API non autorisés | alarm-unauthorized-api-calls (Vérification du processus) | Vérifiez qu'il existe un filtre de métrique de journaux et une alarme pour les appels d'API non autorisés. Pour plus de détails sur l'audit de ce contrôle, veuillez consulter le document CIS Amazon Web Services Foundations Benchmark version 1.4.0 disponible à l'adresse https://www.cisecurity. org/benchmark/amazon_services_web/ |
| 4.2 | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour la connexion à la console de gestion sans MFA | alarm-sign-in-without-mfa (vérification du processus) | Assurez-vous qu'un filtre de métrique de journaux et une alarme existent pour la connexion à la console de gestion AWS sans authentification multifactorielle (MFA). Pour plus de détails sur l'audit de ce contrôle, veuillez consulter le document CIS Amazon Web Services Foundations Benchmark version 1.4.0 disponible à l'adresse https://www.cisecurity. org/benchmark/amazon_services_web/ |
| 4.3 | Vérifier qu'il existe un filtre de métrique de journaux et une alarme en cas d'utilisation du compte root | alarm-root-account-use (Vérification du processus) | Vérifiez qu'il existe un filtre de métrique de journaux et une alarme en cas d'utilisation du compte root. Pour plus de détails sur l'audit de ce contrôle, veuillez consulter le document CIS Amazon Web Services Foundations Benchmark version 1.4.0 disponible à l'adresse https://www.cisecurity. org/benchmark/amazon_services_web/ |
| 4,4 | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications de politique IAM | alarm-iam-policy-change (Vérification du processus) | Vérifiez qu'il existe un filtre de métrique de journaux et une alarme pour les modifications de politique IAM. Pour plus de détails sur l'audit de ce contrôle, veuillez consulter le document CIS Amazon Web Services Foundations Benchmark version 1.4.0 disponible à l'adresse https://www.cisecurity. org/benchmark/amazon_services_web/ |
| 4,5 | Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour les modifications CloudTrail de configuration | alarm-cloudtrail-config-change (Vérification du processus) | Assurez-vous qu'un filtre logarithmique et qu'une alarme existent pour les modifications AWS CloudTrail de configuration. Pour plus de détails sur l'audit de ce contrôle, veuillez consulter le document CIS Amazon Web Services Foundations Benchmark version 1.4.0 disponible à l'adresse https://www.cisecurity. org/benchmark/amazon_services_web/ |
| 4.8 | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications de politique de compartiment S3 | alarm-s3- bucket-policy-change (Vérification du processus) | Vérifiez qu'il existe un filtre de métrique de journaux et une alarme pour les modifications de politique de compartiment S3. Pour plus de détails sur l'audit de ce contrôle, veuillez consulter le document CIS Amazon Web Services Foundations Benchmark version 1.4.0 disponible à l'adresse https://www.cisecurity. org/benchmark/amazon_services_web/ |
| 4,12 | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications des passerelles réseau | alarm-vpc-network-gateway-change (vérification du processus) | Vérifiez qu'il existe un filtre de métrique de journaux et une alarme pour les modifications des passerelles réseau. Pour plus de détails sur l'audit de ce contrôle, veuillez consulter le document CIS Amazon Web Services Foundations Benchmark version 1.4.0 disponible à l'adresse https://www.cisecurity. org/benchmark/amazon_services_web/ |
| 4,13 | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications des tables de routage | alarm-vpc-route-table-change (vérification du processus) | Vérifiez qu'il existe un filtre de métrique de journaux et une alarme pour les modifications des tables de routage. Pour plus de détails sur l'audit de ce contrôle, veuillez consulter le document CIS Amazon Web Services Foundations Benchmark version 1.4.0 disponible à l'adresse https://www.cisecurity. org/benchmark/amazon_services_web/ |
| 4,14 | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications VPC | alarm-vpc-change (Vérification du processus) | Vérifiez qu'il existe un filtre de métrique de journaux et une alarme pour les modifications Amazon Virtual Private Cloud (VPC). Pour plus de détails sur l'audit de ce contrôle, veuillez consulter le document CIS Amazon Web Services Foundations Benchmark version 1.4.0 disponible à l'adresse https://www.cisecurity. org/benchmark/amazon_services_web/ |
| 4,15 | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications AWS Organizations | alarm-organizations-change (Vérification du processus) | Vérifiez qu'il existe un filtre de métrique de journaux et une alarme pour les modifications AWS Organizations. Pour plus de détails sur l'audit de ce contrôle, veuillez consulter le document CIS Amazon Web Services Foundations Benchmark version 1.4.0 disponible à l'adresse https://www.cisecurity. org/benchmark/amazon_services_web/ |
| 5.1 | Assurez-vous qu'aucun réseau n' ACLs autorise l'entrée de 0.0.0.0/0 vers les ports d'administration du serveur distant | Assurez-vous qu'aucun réseau n' ACLs autorise l'accès public aux ports d'administration du serveur distant. Dans la section VPC de la console, assurez-vous qu'il existe un réseau ACLs avec une source de « 0.0.0.0/0 » avec des ports autorisés ou des plages de ports, y compris les ports d'administration du serveur distant. Pour plus de détails sur l'audit de ce contrôle, veuillez consulter le document CIS Amazon Web Services Foundations Benchmark version 1.4.0 disponible à l'adresse https://www.cisecurity. org/benchmark/amazon_services_web/ | |
| 5.2 | Vérifier qu'aucun groupe de sécurité n'autorise l'entrée depuis 0.0.0.0/0 vers des ports d'administration de serveur distant | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
| 5.2 | Vérifier qu'aucun groupe de sécurité n'autorise l'entrée depuis 0.0.0.0/0 vers des ports d'administration de serveur distant | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont limités sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet de définir éventuellement les paramètres blockedPort1 à blockedPort5 (valeur standard CIS : 3389). Les valeurs réelles doivent refléter les politiques de votre organisation. |
Modèle
Le modèle est disponible sur GitHub : Operational Best Practices for CIS AWS Foundations Benchmark v1.4 Level 1
