Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Bonnes pratiques opérationnelles pour Esquema Nacional de Seguridad () Medium ENS
Les packs de conformité fournissent un cadre de conformité à usage général conçu pour vous permettre de créer des contrôles de gouvernance en matière de sécurité, d'exploitation ou d'optimisation des coûts à l'aide de AWS Config règles gérées ou personnalisées et d'actions correctives. AWS Config Les packs de conformité, en tant qu'exemples de modèle, ne sont pas conçus pour garantir pleinement la conformité à une norme de gouvernance ou de conformité spécifique. Il vous incombe de déterminer vous-même si votre utilisation des services est conforme aux exigences légales et réglementaires applicables.
Vous trouverez ci-dessous un exemple de mappage entre les contrôles du framework Esquema Nacional de Seguridad ENS () Medium en Espagne et les règles de configuration AWS gérées. Chaque règle de Config s'applique à une AWS ressource spécifique et concerne un ou plusieurs contrôles Spain ENS Medium. Un contrôle ENS Espagne peut être associé à plusieurs règles de Config. Reportez-vous au tableau ci-dessous pour obtenir plus de détails et des conseils relatifs à ces mappages.
Cet exemple de modèle de pack de conformité contient des mappages vers les contrôles du framework Espagne ENS Medium, tel que mis à jour pour la dernière fois le 23 octobre 2020.
| ID du contrôle | AWS Règle de configuration | Conseils |
|---|---|---|
| Annexe II 4.1.2.a) b) c) | Assurez-vous que le chiffrement est activé pour vos tables Amazon DynamoDB. Comme il peut y avoir des données sensibles au repos dans ces tables, activez le chiffrement au repos pour protéger ces données. Par défaut, les tables DynamoDB sont chiffrées à l'aide AWS d'une clé principale propre au client (). CMK | |
| Annexe II 4.1.2.a) b) c) | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (AmazonEBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données. | |
| Annexe II 4.1.2.a) b) c) | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. Node-to-nodele chiffrement permet le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (AmazonVPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| Annexe II 4.1.2.a) b) c) | Activez l'équilibrage de charge entre zones pour vos équilibreurs de charge élastiques (ELBs) afin de maintenir une capacité et une disponibilité adéquates. L'équilibrage de charge entre zones réduit la nécessité de maintenir un nombre équivalent d'instances dans chaque zone de disponibilité activée. Cela améliore également la capacité de votre application à gérer la perte d'une ou de plusieurs instances. | |
| Annexe II 4.1.2.a) b) c) | Assurez-vous que vos Elastic Load Balancers (ELBs) sont configurés avec des écouteurs SSL ou des HTTPS écouteurs. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| Annexe II 4.1.2.a) b) c) | Assurez-vous que la protection contre les suppressions est activée sur les instances RDS Amazon Relational Database Service (Amazon). Utilisez la protection contre la suppression pour éviter que vos RDS instances Amazon ne soient supprimées accidentellement ou de manière malveillante, ce qui pourrait entraîner une perte de disponibilité pour vos applications. | |
| Annexe II 4.1.2.a) b) c) | Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (RDSAmazon). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données. | |
| Annexe II 4.1.2.a) b) c) | Assurez-vous que le verrouillage est activé par défaut dans votre compartiment Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments S3, appliquez le verrouillage d'objet au repos pour protéger ces données. | |
| Annexe II 4.1.2.a) b) c) | Assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans un compartiment Amazon S3, activez le chiffrement au repos pour protéger ces données. | |
| Annexe II 4.1.2.a) b) c) | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker ordinateur portable. Étant donné que des données sensibles peuvent exister au repos dans le SageMaker bloc-notes, activez le chiffrement au repos pour protéger ces données. | |
| Annexe II 4.1.2.a) b) c) | Pour protéger les données au repos, assurez-vous que vos rubriques Amazon Simple Notification Service (AmazonSNS) nécessitent un chiffrement à l'aide du AWS Key Management Service (AWS KMS). Comme il peut y avoir des données sensibles au repos dans les messages publiés, activez le chiffrement au repos pour protéger ces données. | |
| Annexe II 4.1.2.a) b) c) | Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les demandes non HTTP chiffrées vers. HTTPS Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| Annexe II 4.1.2.a) b) c) | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour le cache de votre stage API Gateway. Étant donné que des données sensibles peuvent être capturées pour API cette méthode, activez le chiffrement au repos pour protéger ces données. | |
| Annexe II 4.1.2.a) b) c) | Assurez-vous que REST API les étapes Amazon API Gateway sont configurées avec SSL des certificats afin de permettre aux systèmes principaux d'authentifier que les demandes proviennent de API Gateway. | |
| Annexe II 4.1.2.a) b) c) | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le cryptage est activé pour vos AWS CloudTrail pistes. | |
| Annexe II 4.1.2.a) b) c) | Utilisez la validation des fichiers AWS CloudTrail journaux pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonctionnalité est développée à l'aide d'algorithmes standard : SHA -256 pour le hachage et SHA -256 RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection. | |
| Annexe II 4.1.2.a) b) c) | Pour protéger les données sensibles au repos, assurez-vous que le chiffrement est activé pour vos Amazon CloudWatch Log Groups. | |
| Annexe II 4.1.2.a) b) c) | Amazon DynamoDB Auto Scaling AWS utilise le service Application Auto Scaling pour ajuster la capacité de débit allouée afin de répondre automatiquement aux modèles de trafic réels. Cela permet à une table ou à un index secondaire global d'augmenter sa capacité de lecture/d'écriture approvisionnée afin de gérer les hausses soudaines de trafic sans limitation. | |
| Annexe II 4.1.2.a) b) c) | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour votre Amazon Elastic File System (EFS). | |
| Annexe II 4.1.2.a) b) c) | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch OpenSearch Service (Service). | |
| Annexe II 4.1.2.a) b) c) | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, approvisionner et déployer des TLS certificats publics et SSL privés avec des AWS services et des ressources internes. | |
| Annexe II 4.1.2.a) b) c) | Cette règle garantit que la protection contre la suppression est activée pour Elastic Load Balancing. Utilisez cette fonctionnalité pour empêcher la suppression accidentelle ou malveillante de votre équilibreur de charge, ce qui pourrait entraîner une perte de disponibilité pour vos applications. | |
| Annexe II 4.1.2.a) b) c) | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (AmazonEBS). | |
| Annexe II 4.1.2.a) b) c) | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch Service. | |
| Annexe II 4.1.2.a) b) c) | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. Node-to-nodele chiffrement permet le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (AmazonVPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| Annexe II 4.1.2.a) b) c) | Le support multi-AZ d'Amazon Relational Database Service (RDSAmazon) améliore la disponibilité et la durabilité des instances de base de données. Lorsque vous mettez en service une instance de base de données multi-AZ, Amazon crée RDS automatiquement une instance de base de données principale et réplique les données de manière synchrone sur une instance de secours située dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers le mode veille afin que vous puissiez reprendre les opérations de base de données dès que le basculement est terminé. | |
| Annexe II 4.1.2.a) b) c) | Le support multi-AZ d'Amazon Relational Database Service (RDSAmazon) améliore la disponibilité et la durabilité des instances de base de données. Lorsque vous mettez en service une instance de base de données multi-AZ, Amazon crée RDS automatiquement une instance de base de données principale et réplique les données de manière synchrone sur une instance de secours située dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers le mode veille afin que vous puissiez reprendre les opérations de base de données dès que le basculement est terminé. | |
| Annexe II 4.1.2.a) b) c) | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (RDSAmazon). Étant donné que des données sensibles peuvent exister au repos dans RDS les instances Amazon, activez le chiffrement au repos pour protéger ces données. | |
| Annexe II 4.1.2.a) b) c) | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default :TRUE) et loggingEnabled (Config Default :TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| Annexe II 4.1.2.a) b) c) | Pour protéger les données au repos, assurez-vous que le chiffrement avec AWS Key Management Service (AWS KMS) est activé pour votre cluster Amazon Redshift. Comme il peut y avoir des données sensibles au repos dans les clusters Redshift, activez le chiffrement au repos pour protéger ces données. | |
| Annexe II 4.1.2.a) b) c) | Assurez-vous que vos clusters Amazon Redshift nécessitent un SSL chiffrement TLS pour se connecter aux SQL clients. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| Annexe II 4.1.2.a) b) c) | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données. | |
| Annexe II 4.1.2.a) b) c) | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) nécessitent des demandes d'utilisation du protocole Secure Socket Layer (). SSL Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| Annexe II 4.1.2.a) b) c) | Pour protéger les données au repos, assurez-vous que le chiffrement avec AWS Key Management Service (AWS KMS) est activé pour votre SageMaker terminal. Étant donné que les données sensibles peuvent exister au repos sur le SageMaker terminal, activez le chiffrement au repos pour protéger ces données. | |
| Annexe II 4.1.2.a) b) c) | Pour protéger les données au repos, assurez-vous que le chiffrement avec AWS Key Management Service (AWS KMS) est activé pour les AWS secrets de Secrets Manager. Comme il peut y avoir des données sensibles au repos dans les secrets de Secrets Manager, activez le chiffrement au repos pour protéger ces données. | |
| Annexe II 4.1.2.a) b) c) | Site-to-SiteVPNDes tunnels redondants peuvent être mis en œuvre pour répondre aux exigences de résilience. Il utilise deux tunnels pour garantir la connectivité au cas où l'une des Site-to-Site VPN connexions deviendrait indisponible. Pour éviter toute perte de connectivité, en cas d'indisponibilité de votre passerelle client, vous pouvez configurer une deuxième Site-to-Site VPN connexion à votre Amazon Virtual Private Cloud (AmazonVPC) et à votre passerelle privée virtuelle en utilisant une deuxième passerelle client. | |
| Annexe II 4.1.2.b) | Cette règle garantit que les groupes de sécurité sont attachés à une instance Amazon Elastic Compute Cloud (AmazonEC2) ou à unENI. Cette règle permet de surveiller les groupes de sécurité non utilisés dans l'inventaire et de gérer votre environnement. | |
| Annexe II 4.1.2.b) | Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des niveaux de référence pour les niveaux de correctifs du système d'exploitation, les installations de logiciels, les configurations d'applications et d'autres informations relatives à votre environnement. | |
| Annexe II 4.1.2.b) | Activez cette règle pour faciliter la configuration de base des instances Amazon Elastic Compute Cloud (AmazonEC2) en vérifiant si les EC2 instances Amazon ont été arrêtées pendant plus de jours que le nombre de jours autorisé, conformément aux normes de votre organisation. | |
| Annexe II 4.1.2.b) | Cette règle garantit que les volumes Amazon Elastic Block Store attachés aux instances Amazon Elastic Compute Cloud (AmazonEC2) sont marqués pour suppression lorsqu'une instance est résiliée. Si un EBS volume Amazon n'est pas supprimé lorsque l'instance à laquelle il est attaché est résiliée, cela peut enfreindre le concept de moindre fonctionnalité. | |
| Annexe II 4.1.2.b) | Cette règle garantit que les Elastic IPs alloués à un Amazon Virtual Private Cloud (AmazonVPC) sont attachés aux instances Amazon Elastic Compute Cloud (AmazonEC2) ou aux interfaces réseau Elastic en cours d'utilisation. Cette règle permet de surveiller les utilisations non utilisées EIPs dans votre environnement. | |
| Annexe II 4.1.2.b) | Cette règle garantit que les listes de contrôle d'accès au réseau Amazon Virtual Private Cloud (VPC) sont utilisées. La surveillance des listes de contrôle d'accès réseau inutilisées peut faciliter l'inventaire et la gestion précis de votre environnement. | |
| Annexe II 4.2.1.a) | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son rôle AWS Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité. | |
| Annexe II 4.2.1.a) b) | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son rôle AWS Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité. | |
| Annexe II 4.2.4 | Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges. | |
| Annexe II 4.2.4 | Assurez-vous que les IAM actions sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| Annexe II 4.2.4 | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Allow » avec « Action » : « * » plutôt que « Resource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| Annexe II 4.2.4 | Gérez l'accès au AWS cloud en activant s3_ bucket_policy_grantee_check. Cette règle vérifie que l'accès accordé par le compartiment Amazon S3 est limité par AWS les principaux, les utilisateurs fédérés, les principaux de service, les adresses IP ou Amazon Virtual Private Cloud (AmazonVPC) IDs que vous fournissez. | |
| Annexe II 4.2.5 | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son rôle AWS Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité. | |
| Annexe II 4.2.5.a) | Les identités et les informations d'identification sont émises, gérées et vérifiées sur la base d'une politique de IAM mot de passe organisationnelle. Ils respectent ou dépassent les exigences énoncées dans le NIST SP 800-63 et dans la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAMPolitique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| Annexe II 4.2.5.c) | Les identités et les informations d'identification sont émises, gérées et vérifiées sur la base d'une politique de IAM mot de passe organisationnelle. Ils respectent ou dépassent les exigences énoncées dans le NIST SP 800-63 et dans la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAMPolitique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| Annexe II 4.2.6. BAJO. c) | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| Annexe II 4.2.6.c) | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| Annexe II 4.2.6.c) | AWS CloudTrail enregistre les actions et les API appels de la console de AWS gestion. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI REGION _ CLOUD _ TRAIL _ ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant API l'activité de la nouvelle région sans aucune action. | |
| Annexe II 4.2.6.c) | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (RDSAmazon) est activée. Avec Amazon RDS Logging, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
| Annexe II 4.2.6.c) | Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur le Web régional et mondialACLs. AWS WAFla journalisation fournit des informations détaillées sur le trafic analysé par votre site WebACL. Les journaux enregistrent l'heure à laquelle la demande AWS WAF a été reçue de votre AWS ressource, les informations relatives à la demande et une action pour la règle à laquelle chaque demande correspond. | |
| Annexe II 4.2.6.c) | APILa journalisation de la passerelle affiche des vues détaillées API des utilisateurs qui ont accédé auAPI. Ces informations offrent une visibilité sur les activités des utilisateurs. | |
| Annexe II 4.2.6.c) | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des API appels au sein de votre Compte AWS. | |
| Annexe II 4.2.6.c) | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions et les appels AWS de la console de gestion. API Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
| Annexe II 4.2.6.c) | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les Compte AWS informations qui ont accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
| Annexe II 4.2.6.c) | L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la ELB journalisation est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées auELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. | |
| Annexe II 4.2.6.c) | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
| Annexe II 4.2.6.c) | Les journaux de VPC flux fournissent des enregistrements détaillés contenant des informations sur le trafic IP à destination et en provenance des interfaces réseau de votre Amazon Virtual Private Cloud (AmazonVPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole. | |
| Annexe II 4.2.7 | Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. MFAajoute une couche de protection supplémentaire en plus des informations de connexion. Réduisez les incidents liés à des comptes compromis en exigeant MFA des utilisateurs. | |
| Annexe II 4.2.7 | Gérez l'accès aux ressources dans le AWS cloud en vous assurant qu'il MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. MFAajoute une couche de protection supplémentaire en plus des informations de connexion. En exigeant MFA des utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles. | |
| Annexe II 4.2.7 | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. Cela MFA ajoute une couche de protection supplémentaire pour les informations de connexion. En exigeant l'MFAutilisateur root, vous pouvez réduire le nombre d'incidents de compromission Comptes AWS. | |
| Annexe II 4.2.7 | Gérez l'accès aux ressources dans le AWS cloud en vous assurant MFA qu'il est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. Cela MFA ajoute une couche de protection supplémentaire pour les informations de connexion. En exigeant l'MFAutilisateur root, vous pouvez réduire le nombre d'incidents de compromission Comptes AWS. | |
| Annexe II 4.3.1 | Cette règle garantit que les groupes de sécurité sont attachés à une instance Amazon Elastic Compute Cloud (AmazonEC2) ou à unENI. Cette règle permet de surveiller les groupes de sécurité non utilisés dans l'inventaire et de gérer votre environnement. | |
| Annexe II 4.3.1 | Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des niveaux de référence pour les niveaux de correctifs du système d'exploitation, les installations de logiciels, les configurations d'applications et d'autres informations relatives à votre environnement. | |
| Annexe II 4.3.1 | Activez cette règle pour faciliter la configuration de base des instances Amazon Elastic Compute Cloud (AmazonEC2) en vérifiant si les EC2 instances Amazon ont été arrêtées pendant plus de jours que le nombre de jours autorisé, conformément aux normes de votre organisation. | |
| Annexe II 4.3.1 | Cette règle garantit que les volumes Amazon Elastic Block Store attachés aux instances Amazon Elastic Compute Cloud (AmazonEC2) sont marqués pour suppression lorsqu'une instance est résiliée. Si un EBS volume Amazon n'est pas supprimé lorsque l'instance à laquelle il est attaché est résiliée, cela peut enfreindre le concept de moindre fonctionnalité. | |
| Annexe II 4.3.1 | Cette règle garantit que les Elastic IPs alloués à un Amazon Virtual Private Cloud (AmazonVPC) sont attachés aux instances Amazon Elastic Compute Cloud (AmazonEC2) ou aux interfaces réseau Elastic en cours d'utilisation. Cette règle permet de surveiller les utilisations non utilisées EIPs dans votre environnement. | |
| Annexe II 4.3.1 | Cette règle garantit que les listes de contrôle d'accès au réseau Amazon Virtual Private Cloud (VPC) sont utilisées. La surveillance des listes de contrôle d'accès réseau inutilisées peut faciliter l'inventaire et la gestion précis de votre environnement. | |
| Annexe II 4.3.2.b) | Assurez-vous qu' AWS WAFil est activé sur les Elastic Load Balancers (ELB) pour protéger les applications Web. A WAF permet de protéger vos applications Web ou APIs contre les exploits Web courants. Ces attaques Web peuvent affecter la disponibilité, compromettre la sécurité ou consommer des ressources excessives dans votre environnement. | |
| Annexe II 4.3.2.b) | AWS WAFvous permet de configurer un ensemble de règles (appelé liste de contrôle d'accès Web (WebACL)) qui autorisent, bloquent ou comptent les requêtes Web sur la base de règles et de conditions de sécurité Web personnalisables que vous définissez. Assurez-vous que votre stage Amazon API Gateway est associé à un WAF site Web ACL pour le protéger des attaques malveillantes | |
| Annexe II 4.3.2.b) | Assurez-vous que les tables de EC2 routage Amazon ne disposent pas de routes illimitées vers une passerelle Internet. La suppression ou la limitation de l'accès à Internet pour les charges de travail au sein d'Amazon VPCs peut réduire les accès involontaires au sein de votre environnement. | |
| Annexe II 4.3.2.b) | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos SSM documents. Un SSM document public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
| Annexe II 4.3.2.b) | Gérez l'accès au AWS cloud en vous assurant que les instances de DMS réplication ne sont pas accessibles au public. DMSles instances de réplication peuvent contenir des informations sensibles et un contrôle d'accès est requis pour ces comptes. | |
| Annexe II 4.3.2.b) | Gérez l'accès au AWS cloud en vous assurant que les EBS instantanés ne sont pas restaurables publiquement. EBSles instantanés de volume peuvent contenir des informations sensibles et un contrôle d'accès est requis pour ces comptes. | |
| Annexe II 4.3.2.b) | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (AmazonEC2) ne sont pas accessibles au public. Les EC2 instances Amazon peuvent contenir des informations sensibles et un contrôle d'accès est requis pour ces comptes. | |
| Annexe II 4.3.2.b) | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (AmazonVPC). Un domaine de OpenSearch service au sein d'Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un NAT appareil ou d'une VPN connexion. | |
| Annexe II 4.3.2.b) | Gérez l'accès au AWS cloud en vous assurant que les nœuds EMR principaux du cluster Amazon ne sont pas accessibles au public. Les nœuds EMR principaux du cluster Amazon peuvent contenir des informations sensibles et un contrôle d'accès est requis pour ces comptes. | |
| Annexe II 4.3.2.b) | Les groupes de sécurité Amazon Elastic Compute Cloud (AmazonEC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
| Annexe II 4.3.2.b) | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les passerelles Internet ne sont connectées qu'à Amazon Virtual Private Cloud (AmazonVPC) autorisé. Les passerelles Internet permettent un accès bidirectionnel à Internet depuis et vers Amazon, VPC ce qui peut potentiellement conduire à un accès non autorisé aux ressources AmazonVPC. | |
| Annexe II 4.3.2.b) | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
| Annexe II 4.3.2.b) | Déployez des fonctions AWS Lambda dans un Amazon Virtual Private Cloud VPC (Amazon) pour une communication sécurisée entre une fonction et d'autres services au sein d'Amazon. VPC Avec cette configuration, il n'est pas nécessaire de disposer d'une passerelle Internet, d'un NAT appareil ou d'une VPN connexion. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolation logique, les domaines situés au sein d'un Amazon VPC disposent d'une couche de sécurité supplémentaire par rapport aux domaines utilisant des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un. VPC | |
| Annexe II 4.3.2.b) | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (AmazonVPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et d'autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un NAT appareil ou d'une VPN connexion. | |
| Annexe II 4.3.2.b) | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (RDSAmazon) ne sont pas publiques. Les instances RDS de base de données Amazon peuvent contenir des informations sensibles, et des principes et un contrôle d'accès sont requis pour ces comptes. | |
| Annexe II 4.3.2.b) | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (RDSAmazon) ne sont pas publiques. Les instances RDS de base de données Amazon peuvent contenir des informations et des principes sensibles et un contrôle d'accès est requis pour ces comptes. | |
| Annexe II 4.3.2.b) | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| Annexe II 4.3.2.b) | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (AmazonEC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet de définir éventuellement blockedPort 1 à blockedPort 5 paramètres (Config Defaults : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| Annexe II 4.3.2.b) | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| Annexe II 4.3.2.b) | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
| Annexe II 4.3.2.b) | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| Annexe II 4.3.2.b) | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| Annexe II 4.3.2.b) | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
| Annexe II 4.3.2.b) | Gérez l'accès au AWS cloud en vous assurant que les sous-réseaux Amazon Virtual Private Cloud (VPC) ne se voient pas automatiquement attribuer une adresse IP publique. Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux sur lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale. | |
| Annexe II 4.3.2.b) | Les groupes de sécurité Amazon Elastic Compute Cloud (AmazonEC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
| Annexe II 4.3.2.b) | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (AmazonEC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
| Annexe II 4.3.4 c) | vuln-management-plan-exists (Vérification du processus) | Veillez à ce qu'un plan de gestion des vulnérabilités soit élaboré et mis en œuvre afin de disposer de processus officiellement définis pour remédier aux vulnérabilités dans votre environnement. Cela peut inclure des outils de gestion des vulnérabilités, la cadence d'analyse de l'environnement, les rôles et les responsabilités. |
| Annexe II 4.3.6 | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| Annexe II 4.3.7.a) | response-plan-exists-maintained (Vérification du processus) | Assurez-vous que des plans de réponse aux incidents sont établis, maintenus et distribués au personnel responsable. Le fait de disposer de plans de réponse mis à jour et officiellement documentés permet de s'assurer que le personnel d'intervention comprend les rôles, les responsabilités et les processus à suivre en cas d'incident. |
| Annexe II 4.3.8 | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| Annexe II 4.3.8 | AWS CloudTrail enregistre les actions et les API appels de la console de AWS gestion. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI REGION _ CLOUD _ TRAIL _ ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant API l'activité de la nouvelle région sans aucune action. | |
| Annexe II 4.3.8 | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (RDSAmazon) est activée. Avec Amazon RDS Logging, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
| Annexe II 4.3.8 | Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur le Web régional et mondialACLs. AWS WAFla journalisation fournit des informations détaillées sur le trafic analysé par votre site WebACL. Les journaux enregistrent l'heure à laquelle la demande AWS WAF a été reçue de votre AWS ressource, les informations relatives à la demande et une action pour la règle à laquelle chaque demande correspond. | |
| Annexe II 4.3.8 | APILa journalisation de la passerelle affiche des vues détaillées API des utilisateurs qui ont accédé auAPI. Ces informations offrent une visibilité sur les activités des utilisateurs. | |
| Annexe II 4.3.8 | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des API appels au sein de votre Compte AWS. | |
| Annexe II 4.3.8 | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions et les appels AWS de la console de gestion. API Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
| Annexe II 4.3.8 | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les Compte AWS informations qui ont accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
| Annexe II 4.3.8 | L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la ELB journalisation est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées auELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. | |
| Annexe II 4.3.8 | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
| Annexe II 4.3.8 | Les journaux de VPC flux fournissent des enregistrements détaillés contenant des informations sur le trafic IP à destination et en provenance des interfaces réseau de votre Amazon Virtual Private Cloud (AmazonVPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole. | |
| Annexe II 4.3.8. BAJO | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| Annexe II 4.3.8. MEDIO | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| Annexe II 4.3.10.b) | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le cryptage est activé pour vos AWS CloudTrail pistes. | |
| Annexe II 4.3.10.b) | Utilisez la validation des fichiers AWS CloudTrail journaux pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonctionnalité est développée à l'aide d'algorithmes standard : SHA -256 pour le hachage et SHA -256 RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection. | |
| Annexe II 4.3.10.d) | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication CRR () permet de maintenir une capacité et une disponibilité adéquates. CRRpermet la copie automatique et asynchrone des objets dans les compartiments Amazon S3 afin de garantir la disponibilité des données. | |
| Annexe II 4.6.1 | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| Annexe II 4.6.2 | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi AWS que des solutions partenaires. | |
| Annexe II 4.6.2 | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| Annexe II 5.2.3 | security-awareness-program-exists (Vérification du processus) | Élaborez et maintenez un programme de sensibilisation à la sécurité pour votre organisation. Les programmes de sensibilisation à la sécurité visent à informer les employés sur la façon de protéger leur organisation contre divers incidents ou atteintes à la sécurité. |
| Annexe II 5.4.2 | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. Node-to-nodele chiffrement permet le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (AmazonVPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| Annexe II 5.4.2 | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, approvisionner et déployer des TLS certificats publics et SSL privés avec des AWS services et des ressources internes. | |
| Annexe II 5.4.2 | Assurez-vous que vos Elastic Load Balancers (ELBs) sont configurés avec des écouteurs SSL ou des HTTPS écouteurs. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| Annexe II 5.4.2 | Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les demandes non HTTP chiffrées vers. HTTPS Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| Annexe II 5.4.2 | Assurez-vous que REST API les étapes Amazon API Gateway sont configurées avec SSL des certificats afin de permettre aux systèmes principaux d'authentifier que les demandes proviennent de API Gateway. | |
| Annexe II 5.4.2 | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, approvisionner et déployer des TLS certificats publics et SSL privés avec des AWS services et des ressources internes. | |
| Annexe II 5.4.2 | Assurez-vous que vos clusters Amazon Redshift nécessitent un SSL chiffrement TLS pour se connecter aux SQL clients. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| Annexe II 5.4.2 | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) nécessitent des demandes d'utilisation du protocole Secure Socket Layer (). SSL Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| Annexe II 5.4.2. MEDIO | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| Annexe II 5.4.3 | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. Node-to-nodele chiffrement permet le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (AmazonVPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| Annexe II 5.4.3 | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, approvisionner et déployer des TLS certificats publics et SSL privés avec des AWS services et des ressources internes. | |
| Annexe II 5.4.3 | Assurez-vous que vos Elastic Load Balancers (ELBs) sont configurés avec des écouteurs SSL ou des HTTPS écouteurs. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| Annexe II 5.4.3 | Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les demandes non HTTP chiffrées vers. HTTPS Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| Annexe II 5.4.3 | Assurez-vous que REST API les étapes Amazon API Gateway sont configurées avec SSL des certificats afin de permettre aux systèmes principaux d'authentifier que les demandes proviennent de API Gateway. | |
| Annexe II 5.4.3 | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, approvisionner et déployer des TLS certificats publics et SSL privés avec des AWS services et des ressources internes. | |
| Annexe II 5.4.3 | Assurez-vous que vos clusters Amazon Redshift nécessitent un SSL chiffrement TLS pour se connecter aux SQL clients. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| Annexe II 5.4.3 | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) nécessitent des demandes d'utilisation du protocole Secure Socket Layer (). SSL Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| Annexe II 5.4.3. MEDIO | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| Annexe II 5.4.3.a) | Les identités et les informations d'identification sont émises, gérées et vérifiées sur la base d'une politique de IAM mot de passe organisationnelle. Ils respectent ou dépassent les exigences énoncées dans le NIST SP 800-63 et dans la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAMPolitique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| Annexe II 5.6.1.c) | Assurez-vous que les informations AWS_ACCESS_KEY_ID d'authentification n' AWS_SECRET_ACCESS_KEY existent pas dans les environnements de projet AWS Codebuild. Ne stockez pas ces variables en clair. Le stockage de ces variables en clair entraîne une exposition involontaire des données et un accès non autorisé. | |
| Annexe II 5.6.1.c) | Assurez-vous que le référentiel source GitHub ou Bitbucket URL ne contient pas de jetons d'accès personnels ni d'identifiants de connexion dans les environnements de projet AWS Codebuild. Utilisez OAuth plutôt des jetons d'accès personnels ou des identifiants de connexion pour autoriser l'accès aux GitHub référentiels Bitbucket. | |
| Annexe II 5.7.3 | Assurez-vous que le chiffrement est activé pour vos tables Amazon DynamoDB. Comme il peut y avoir des données sensibles au repos dans ces tables, activez le chiffrement au repos pour protéger ces données. Par défaut, les tables DynamoDB sont chiffrées à l'aide AWS d'une clé principale propre au client (). CMK | |
| Annexe II 5.7.3 | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (AmazonEBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données. | |
| Annexe II 5.7.3 | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. Node-to-nodele chiffrement permet le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (AmazonVPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| Annexe II 5.7.3 | Assurez-vous que vos Elastic Load Balancers (ELBs) sont configurés avec des écouteurs SSL ou des HTTPS écouteurs. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| Annexe II 5.7.3 | Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (RDSAmazon). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données. | |
| Annexe II 5.7.3 | Assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans un compartiment Amazon S3, activez le chiffrement au repos pour protéger ces données. | |
| Annexe II 5.7.3 | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker ordinateur portable. Étant donné que des données sensibles peuvent exister au repos dans le SageMaker bloc-notes, activez le chiffrement au repos pour protéger ces données. | |
| Annexe II 5.7.3 | Pour protéger les données au repos, assurez-vous que vos rubriques Amazon Simple Notification Service (AmazonSNS) nécessitent un chiffrement à l'aide du AWS Key Management Service (AWS KMS). Comme il peut y avoir des données sensibles au repos dans les messages publiés, activez le chiffrement au repos pour protéger ces données. | |
| Annexe II 5.7.3 | Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les demandes non HTTP chiffrées vers. HTTPS Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| Annexe II 5.7.3 | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour le cache de votre stage API Gateway. Étant donné que des données sensibles peuvent être capturées pour API cette méthode, activez le chiffrement au repos pour protéger ces données. | |
| Annexe II 5.7.3 | Assurez-vous que REST API les étapes Amazon API Gateway sont configurées avec SSL des certificats afin de permettre aux systèmes principaux d'authentifier que les demandes proviennent de API Gateway. | |
| Annexe II 5.7.3 | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le cryptage est activé pour vos AWS CloudTrail pistes. | |
| Annexe II 5.7.3 | Pour protéger les données sensibles au repos, assurez-vous que le chiffrement est activé pour vos Amazon CloudWatch Log Groups. | |
| Annexe II 5.7.3 | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour votre Amazon Elastic File System (EFS). | |
| Annexe II 5.7.3 | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch OpenSearch Service (Service). | |
| Annexe II 5.7.3 | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, approvisionner et déployer des TLS certificats publics et SSL privés avec des AWS services et des ressources internes. | |
| Annexe II 5.7.3 | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (AmazonEBS). | |
| Annexe II 5.7.3 | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch Service. | |
| Annexe II 5.7.3 | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. Node-to-nodele chiffrement permet le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (AmazonVPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| Annexe II 5.7.3 | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (RDSAmazon). Étant donné que des données sensibles peuvent exister au repos dans RDS les instances Amazon, activez le chiffrement au repos pour protéger ces données. | |
| Annexe II 5.7.3 | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default :TRUE) et loggingEnabled (Config Default :TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| Annexe II 5.7.3 | Pour protéger les données au repos, assurez-vous que le chiffrement avec AWS Key Management Service (AWS KMS) est activé pour votre cluster Amazon Redshift. Comme il peut y avoir des données sensibles au repos dans les clusters Redshift, activez le chiffrement au repos pour protéger ces données. | |
| Annexe II 5.7.3 | Assurez-vous que vos clusters Amazon Redshift nécessitent un SSL chiffrement TLS pour se connecter aux SQL clients. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| Annexe II 5.7.3 | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données. | |
| Annexe II 5.7.3 | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) nécessitent des demandes d'utilisation du protocole Secure Socket Layer (). SSL Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| Annexe II 5.7.3 | Pour protéger les données au repos, assurez-vous que le chiffrement avec AWS Key Management Service (AWS KMS) est activé pour votre SageMaker terminal. Étant donné que les données sensibles peuvent exister au repos sur le SageMaker terminal, activez le chiffrement au repos pour protéger ces données. | |
| Annexe II 5.7.3 | Pour protéger les données au repos, assurez-vous que le chiffrement avec AWS Key Management Service (AWS KMS) est activé pour les AWS secrets de Secrets Manager. Comme il peut y avoir des données sensibles au repos dans les secrets de Secrets Manager, activez le chiffrement au repos pour protéger ces données. | |
| Annexe II 5.7.4 | Activez la rotation des clés pour vous assurer que les clés sont pivotées une fois qu'elles ont atteint la fin de leur période de chiffrement. | |
| Annexe II 5.7.4 | Pour protéger les données inactives, assurez-vous qu'il n'est pas prévu de supprimer les clés principales du client (CMKs) nécessaires dans le service de gestion des AWS clés (AWS KMS). La suppression de clés étant parfois nécessaire, cette règle peut aider à vérifier toutes les clés dont la suppression est prévue, au cas où la suppression d'une clé aurait été planifiée par inadvertance. | |
| Annexe II 5.8.2 | Assurez-vous qu' AWS WAFil est activé sur les Elastic Load Balancers (ELB) pour protéger les applications Web. A WAF permet de protéger vos applications Web ou APIs contre les exploits Web courants. Ces attaques Web peuvent affecter la disponibilité, compromettre la sécurité ou consommer des ressources excessives dans votre environnement. | |
| Annexe II 5.8.2 | AWS WAFvous permet de configurer un ensemble de règles (appelé liste de contrôle d'accès Web (WebACL)) qui autorisent, bloquent ou comptent les requêtes Web sur la base de règles et de conditions de sécurité Web personnalisables que vous définissez. Assurez-vous que votre stage Amazon API Gateway est associé à un WAF site Web ACL pour le protéger des attaques malveillantes | |
| Annexe II 5.8.3.b) | Assurez-vous qu' AWS WAFil est activé sur les Elastic Load Balancers (ELB) pour protéger les applications Web. A WAF permet de protéger vos applications Web ou APIs contre les exploits Web courants. Ces attaques Web peuvent affecter la disponibilité, compromettre la sécurité ou consommer des ressources excessives dans votre environnement. | |
| Annexe II 5.8.3.b) | AWS WAFvous permet de configurer un ensemble de règles (appelé liste de contrôle d'accès Web (WebACL)) qui autorisent, bloquent ou comptent les requêtes Web sur la base de règles et de conditions de sécurité Web personnalisables que vous définissez. Assurez-vous que votre stage Amazon API Gateway est associé à un WAF site Web ACL pour le protéger des attaques malveillantes | |
| Annexe II 5.8.3.b) | Activez l'équilibrage de charge entre zones pour vos équilibreurs de charge élastiques (ELBs) afin de maintenir une capacité et une disponibilité adéquates. L'équilibrage de charge entre zones réduit la nécessité de maintenir un nombre équivalent d'instances dans chaque zone de disponibilité activée. Cela améliore également la capacité de votre application à gérer la perte d'une ou de plusieurs instances. | |
| Annexe II 5.8.3.b) | Assurez-vous que la protection contre les suppressions est activée sur les instances RDS Amazon Relational Database Service (Amazon). Utilisez la protection contre la suppression pour éviter que vos RDS instances Amazon ne soient supprimées accidentellement ou de manière malveillante, ce qui pourrait entraîner une perte de disponibilité pour vos applications. | |
| Annexe II 5.8.3.b) | Amazon DynamoDB Auto Scaling AWS utilise le service Application Auto Scaling pour ajuster la capacité de débit allouée afin de répondre automatiquement aux modèles de trafic réels. Cela permet à une table ou à un index secondaire global d'augmenter sa capacité de lecture/d'écriture approvisionnée afin de gérer les hausses soudaines de trafic sans limitation. | |
| Annexe II 5.8.3.b) | Cette règle garantit que la protection contre la suppression est activée pour Elastic Load Balancing. Utilisez cette fonctionnalité pour empêcher la suppression accidentelle ou malveillante de votre équilibreur de charge, ce qui pourrait entraîner une perte de disponibilité pour vos applications. | |
| Annexe II 5.8.3.b) | Le support multi-AZ d'Amazon Relational Database Service (RDSAmazon) améliore la disponibilité et la durabilité des instances de base de données. Lorsque vous mettez en service une instance de base de données multi-AZ, Amazon crée RDS automatiquement une instance de base de données principale et réplique les données de manière synchrone sur une instance de secours située dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers le mode veille afin que vous puissiez reprendre les opérations de base de données dès que le basculement est terminé. | |
| Annexe II 5.8.3.b) | Le support multi-AZ d'Amazon Relational Database Service (RDSAmazon) améliore la disponibilité et la durabilité des instances de base de données. Lorsque vous mettez en service une instance de base de données multi-AZ, Amazon crée RDS automatiquement une instance de base de données principale et réplique les données de manière synchrone sur une instance de secours située dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers le mode veille afin que vous puissiez reprendre les opérations de base de données dès que le basculement est terminé. | |
| Annexe II 5.8.3.b) | Site-to-SiteVPNDes tunnels redondants peuvent être mis en œuvre pour répondre aux exigences de résilience. Il utilise deux tunnels pour garantir la connectivité au cas où l'une des Site-to-Site VPN connexions deviendrait indisponible. Pour éviter toute perte de connectivité, en cas d'indisponibilité de votre passerelle client, vous pouvez configurer une deuxième Site-to-Site VPN connexion à votre Amazon Virtual Private Cloud (AmazonVPC) et à votre passerelle privée virtuelle en utilisant une deuxième passerelle client. | |
| Article 14.4 | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son rôle AWS Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité. | |
| Article 16 | Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges. | |
| Article 16 | Assurez-vous que les IAM actions sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| Article 16 | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Allow » avec « Action » : « * » plutôt que « Resource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| Article 16 | Gérez l'accès au AWS cloud en activant s3_ bucket_policy_grantee_check. Cette règle vérifie que l'accès accordé par le compartiment Amazon S3 est limité par AWS les principaux, les utilisateurs fédérés, les principaux de service, les adresses IP ou Amazon Virtual Private Cloud (AmazonVPC) IDs que vous fournissez. | |
| Article 20.2 | Activez les mises à niveau automatiques des versions mineures sur vos instances Amazon Relational Database Service RDS () pour vous assurer que les dernières mises à jour mineures du système de gestion de base de données relationnelle RDBMS () sont installées, qui peuvent inclure des correctifs de sécurité et des corrections de bogues. | |
| Article 20.2 | Activez cette règle pour faciliter l'identification et la documentation des vulnérabilités d'Amazon Elastic Compute Cloud (AmazonEC2). La règle vérifie si les correctifs d'EC2instance Amazon sont conformes dans AWS Systems Manager conformément aux politiques et procédures de votre entreprise. | |
| Article 20.2 | L'activation des mises à jour de plateforme gérées pour un environnement Amazon Elastic Beanstalk garantit l'installation des derniers correctifs, mises à jour et fonctionnalités de la plateforme disponibles pour l'environnement. La sécurisation des systèmes passe par la mise à jour de l'installation des correctifs. | |
| Article 20.2 | vuln-management-plan-exists (Vérification du processus) | Veillez à ce qu'un plan de gestion des vulnérabilités soit élaboré et mis en œuvre afin de disposer de processus officiellement définis pour remédier aux vulnérabilités dans votre environnement. Cela peut inclure des outils de gestion des vulnérabilités, la cadence d'analyse de l'environnement, les rôles et les responsabilités. |
| Article 21.1 | Assurez-vous que le chiffrement est activé pour vos tables Amazon DynamoDB. Comme il peut y avoir des données sensibles au repos dans ces tables, activez le chiffrement au repos pour protéger ces données. Par défaut, les tables DynamoDB sont chiffrées à l'aide AWS d'une clé principale propre au client (). CMK | |
| Article 21.1 | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (AmazonEBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données. | |
| Article 21.1 | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. Node-to-nodele chiffrement permet le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (AmazonVPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| Article 21.1 | Activez l'équilibrage de charge entre zones pour vos équilibreurs de charge élastiques (ELBs) afin de maintenir une capacité et une disponibilité adéquates. L'équilibrage de charge entre zones réduit la nécessité de maintenir un nombre équivalent d'instances dans chaque zone de disponibilité activée. Cela améliore également la capacité de votre application à gérer la perte d'une ou de plusieurs instances. | |
| Article 21.1 | Assurez-vous que vos Elastic Load Balancers (ELBs) sont configurés avec des écouteurs SSL ou des HTTPS écouteurs. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| Article 21.1 | Assurez-vous que la protection contre les suppressions est activée sur les instances RDS Amazon Relational Database Service (Amazon). Utilisez la protection contre la suppression pour éviter que vos RDS instances Amazon ne soient supprimées accidentellement ou de manière malveillante, ce qui pourrait entraîner une perte de disponibilité pour vos applications. | |
| Article 21.1 | Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (RDSAmazon). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données. | |
| Article 21.1 | Assurez-vous que le verrouillage est activé par défaut dans votre compartiment Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments S3, appliquez le verrouillage d'objet au repos pour protéger ces données. | |
| Article 21.1 | Assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans un compartiment Amazon S3, activez le chiffrement au repos pour protéger ces données. | |
| Article 21.1 | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker ordinateur portable. Étant donné que des données sensibles peuvent exister au repos dans le SageMaker bloc-notes, activez le chiffrement au repos pour protéger ces données. | |
| Article 21.1 | Pour protéger les données au repos, assurez-vous que vos rubriques Amazon Simple Notification Service (AmazonSNS) nécessitent un chiffrement à l'aide du AWS Key Management Service (AWS KMS). Comme il peut y avoir des données sensibles au repos dans les messages publiés, activez le chiffrement au repos pour protéger ces données. | |
| Article 21.1 | Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les demandes non HTTP chiffrées vers. HTTPS Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| Article 21.1 | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour le cache de votre stage API Gateway. Étant donné que des données sensibles peuvent être capturées pour API cette méthode, activez le chiffrement au repos pour protéger ces données. | |
| Article 21.1 | Assurez-vous que REST API les étapes Amazon API Gateway sont configurées avec SSL des certificats afin de permettre aux systèmes principaux d'authentifier que les demandes proviennent de API Gateway. | |
| Article 21.1 | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le cryptage est activé pour vos AWS CloudTrail pistes. | |
| Article 21.1 | Utilisez la validation des fichiers AWS CloudTrail journaux pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonctionnalité est développée à l'aide d'algorithmes standard : SHA -256 pour le hachage et SHA -256 RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection. | |
| Article 21.1 | Pour protéger les données sensibles au repos, assurez-vous que le chiffrement est activé pour vos Amazon CloudWatch Log Groups. | |
| Article 21.1 | Amazon DynamoDB Auto Scaling AWS utilise le service Application Auto Scaling pour ajuster la capacité de débit allouée afin de répondre automatiquement aux modèles de trafic réels. Cela permet à une table ou à un index secondaire global d'augmenter sa capacité de lecture/d'écriture approvisionnée afin de gérer les hausses soudaines de trafic sans limitation. | |
| Article 21.1 | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour votre Amazon Elastic File System (EFS). | |
| Article 21.1 | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch OpenSearch Service (Service). | |
| Article 21.1 | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, approvisionner et déployer des TLS certificats publics et SSL privés avec des AWS services et des ressources internes. | |
| Article 21.1 | Cette règle garantit que la protection contre la suppression est activée pour Elastic Load Balancing. Utilisez cette fonctionnalité pour empêcher la suppression accidentelle ou malveillante de votre équilibreur de charge, ce qui pourrait entraîner une perte de disponibilité pour vos applications. | |
| Article 21.1 | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (AmazonEBS). | |
| Article 21.1 | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch Service. | |
| Article 21.1 | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. Node-to-nodele chiffrement permet le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (AmazonVPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| Article 21.1 | Le support multi-AZ d'Amazon Relational Database Service (RDSAmazon) améliore la disponibilité et la durabilité des instances de base de données. Lorsque vous mettez en service une instance de base de données multi-AZ, Amazon crée RDS automatiquement une instance de base de données principale et réplique les données de manière synchrone sur une instance de secours située dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers le mode veille afin que vous puissiez reprendre les opérations de base de données dès que le basculement est terminé. | |
| Article 21.1 | Le support multi-AZ d'Amazon Relational Database Service (RDSAmazon) améliore la disponibilité et la durabilité des instances de base de données. Lorsque vous mettez en service une instance de base de données multi-AZ, Amazon crée RDS automatiquement une instance de base de données principale et réplique les données de manière synchrone sur une instance de secours située dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers le mode veille afin que vous puissiez reprendre les opérations de base de données dès que le basculement est terminé. | |
| Article 21.1 | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (RDSAmazon). Étant donné que des données sensibles peuvent exister au repos dans RDS les instances Amazon, activez le chiffrement au repos pour protéger ces données. | |
| Article 21.1 | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default :TRUE) et loggingEnabled (Config Default :TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| Article 21.1 | Pour protéger les données au repos, assurez-vous que le chiffrement avec AWS Key Management Service (AWS KMS) est activé pour votre cluster Amazon Redshift. Comme il peut y avoir des données sensibles au repos dans les clusters Redshift, activez le chiffrement au repos pour protéger ces données. | |
| Article 21.1 | Assurez-vous que vos clusters Amazon Redshift nécessitent un SSL chiffrement TLS pour se connecter aux SQL clients. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| Article 21.1 | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données. | |
| Article 21.1 | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) nécessitent des demandes d'utilisation du protocole Secure Socket Layer (). SSL Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| Article 21.1 | Pour protéger les données au repos, assurez-vous que le chiffrement avec AWS Key Management Service (AWS KMS) est activé pour votre SageMaker terminal. Étant donné que les données sensibles peuvent exister au repos sur le SageMaker terminal, activez le chiffrement au repos pour protéger ces données. | |
| Article 21.1 | Pour protéger les données au repos, assurez-vous que le chiffrement avec AWS Key Management Service (AWS KMS) est activé pour les AWS secrets de Secrets Manager. Comme il peut y avoir des données sensibles au repos dans les secrets de Secrets Manager, activez le chiffrement au repos pour protéger ces données. | |
| Article 21.1 | Site-to-SiteVPNDes tunnels redondants peuvent être mis en œuvre pour répondre aux exigences de résilience. Il utilise deux tunnels pour garantir la connectivité au cas où l'une des Site-to-Site VPN connexions deviendrait indisponible. Pour éviter toute perte de connectivité, en cas d'indisponibilité de votre passerelle client, vous pouvez configurer une deuxième Site-to-Site VPN connexion à votre Amazon Virtual Private Cloud (AmazonVPC) et à votre passerelle privée virtuelle en utilisant une deuxième passerelle client. | |
| Article 22 | Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. EC2les ressources ne doivent pas être accessibles au public, car cela peut permettre un accès involontaire à vos applications ou à vos serveurs. | |
| Article 22 | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos SSM documents. Un SSM document public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
| Article 22 | Gérez l'accès au AWS cloud en vous assurant que les instances de DMS réplication ne sont pas accessibles au public. DMSles instances de réplication peuvent contenir des informations sensibles et un contrôle d'accès est requis pour ces comptes. | |
| Article 22 | Gérez l'accès au AWS cloud en vous assurant que les EBS instantanés ne sont pas restaurables publiquement. EBSles instantanés de volume peuvent contenir des informations sensibles et un contrôle d'accès est requis pour ces comptes. | |
| Article 22 | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (AmazonEC2) ne sont pas accessibles au public. Les EC2 instances Amazon peuvent contenir des informations sensibles et un contrôle d'accès est requis pour ces comptes. | |
| Article 22 | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (AmazonVPC). Un domaine de OpenSearch service au sein d'Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un NAT appareil ou d'une VPN connexion. | |
| Article 22 | Gérez l'accès au AWS cloud en vous assurant que les nœuds EMR principaux du cluster Amazon ne sont pas accessibles au public. Les nœuds EMR principaux du cluster Amazon peuvent contenir des informations sensibles et un contrôle d'accès est requis pour ces comptes. | |
| Article 22 | Les groupes de sécurité Amazon Elastic Compute Cloud (AmazonEC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
| Article 22 | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les passerelles Internet ne sont connectées qu'à Amazon Virtual Private Cloud (AmazonVPC) autorisé. Les passerelles Internet permettent un accès bidirectionnel à Internet depuis et vers Amazon, VPC ce qui peut potentiellement conduire à un accès non autorisé aux ressources AmazonVPC. | |
| Article 22 | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
| Article 22 | Déployez des fonctions AWS Lambda dans un Amazon Virtual Private Cloud VPC (Amazon) pour une communication sécurisée entre une fonction et d'autres services au sein d'Amazon. VPC Avec cette configuration, il n'est pas nécessaire de disposer d'une passerelle Internet, d'un NAT appareil ou d'une VPN connexion. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolation logique, les domaines situés au sein d'un Amazon VPC disposent d'une couche de sécurité supplémentaire par rapport aux domaines utilisant des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un. VPC | |
| Article 22 | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (AmazonVPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et d'autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un NAT appareil ou d'une VPN connexion. | |
| Article 22 | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (RDSAmazon) ne sont pas publiques. Les instances RDS de base de données Amazon peuvent contenir des informations sensibles, et des principes et un contrôle d'accès sont requis pour ces comptes. | |
| Article 22 | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (RDSAmazon) ne sont pas publiques. Les instances RDS de base de données Amazon peuvent contenir des informations et des principes sensibles et un contrôle d'accès est requis pour ces comptes. | |
| Article 22 | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| Article 22 | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (AmazonEC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet de définir éventuellement blockedPort 1 à blockedPort 5 paramètres (Config Defaults : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| Article 22 | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| Article 22 | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
| Article 22 | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| Article 22 | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| Article 22 | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
| Article 22 | Gérez l'accès au AWS cloud en vous assurant que les sous-réseaux Amazon Virtual Private Cloud (VPC) ne se voient pas automatiquement attribuer une adresse IP publique. Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux sur lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale. | |
| Article 22 | Les groupes de sécurité Amazon Elastic Compute Cloud (AmazonEC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
| Article 22 | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (AmazonEC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
| Article 23 | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| Article 23 | AWS CloudTrail enregistre les actions et les API appels de la console de AWS gestion. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI REGION _ CLOUD _ TRAIL _ ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant API l'activité de la nouvelle région sans aucune action. | |
| Article 23 | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (RDSAmazon) est activée. Avec Amazon RDS Logging, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
| Article 23 | Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur le Web régional et mondialACLs. AWS WAFla journalisation fournit des informations détaillées sur le trafic analysé par votre site WebACL. Les journaux enregistrent l'heure à laquelle la demande AWS WAF a été reçue de votre AWS ressource, les informations relatives à la demande et une action pour la règle à laquelle chaque demande correspond. | |
| Article 23 | APILa journalisation de la passerelle affiche des vues détaillées API des utilisateurs qui ont accédé auAPI. Ces informations offrent une visibilité sur les activités des utilisateurs. | |
| Article 23 | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des API appels au sein de votre Compte AWS. | |
| Article 23 | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions et les appels AWS de la console de gestion. API Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
| Article 23 | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les Compte AWS informations qui ont accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
| Article 23 | L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la ELB journalisation est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées auELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. | |
| Article 23 | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| Article 23 | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
| Article 23 | Les journaux de VPC flux fournissent des enregistrements détaillés contenant des informations sur le trafic IP à destination et en provenance des interfaces réseau de votre Amazon Virtual Private Cloud (AmazonVPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole. | |
| Article 24.1 | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| Article 24.2 | response-plan-exists-maintained (Vérification du processus) | Assurez-vous que des plans de réponse aux incidents sont établis, maintenus et distribués au personnel responsable. Le fait de disposer de plans de réponse mis à jour et officiellement documentés permet de s'assurer que le personnel d'intervention comprend les rôles, les responsabilités et les processus à suivre en cas d'incident. |
| Article 25 | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos tables Amazon DynamoDB font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| Article 25 | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos volumes Amazon Elastic Block Store (AmazonEBS) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| Article 25 | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon Elastic File System (AmazonEFS) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| Article 25 | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos instances Amazon Relational Database Service (RDSAmazon) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| Article 25 | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos clusters Amazon Redshift disposent d'instantanés automatisés. Lorsque les instantanés automatiques sont activés pour un cluster, Redshift prend régulièrement des instantanés de ce cluster. Par défaut, Redshift prend un instantané toutes les huit heures ou tous les 5 Go pour chaque nœud de modification des données, ou selon la première éventualité. | |
| Article 25 | La fonction de sauvegarde d'Amazon RDS crée des sauvegardes de vos bases de données et de vos journaux de transactions. Amazon crée RDS automatiquement un instantané du volume de stockage de votre instance de base de données, en sauvegardant l'intégralité de l'instance de base de données. Le système vous permet de définir des périodes de conservation spécifiques pour répondre à vos exigences de résilience. | |
| Article 25 | Activez cette règle pour vérifier que les informations ont été sauvegardées. Il gère également les sauvegardes en s'assurant que la point-in-time restauration est activée dans Amazon DynamoDB. La récupération permet de maintenir des sauvegardes continues de votre table pour les 35 derniers jours. | |
| Article 25 | Une instance optimisée dans Amazon Elastic Block Store (AmazonEBS) fournit une capacité dédiée supplémentaire pour les opérations d'EBSE/S Amazon. Cette optimisation fournit les performances les plus efficaces pour vos EBS volumes en minimisant les conflits entre les opérations d'EBSE/S Amazon et le reste du trafic provenant de votre instance. | |
| Article 25 | elasticache-redis-cluster-automatic-vérification des sauvegardes |
Lorsque les sauvegardes automatiques sont activées, Amazon ElastiCache crée une sauvegarde du cluster quotidiennement. La sauvegarde peut être conservée pendant un nombre de jours défini par votre organisation. Les sauvegardes automatiques peuvent constituer une protection contre la perte de données. En cas de défaillance, vous pouvez créer un nouveau cluster, ce qui restaurera vos données à partir de la sauvegarde la plus récente. |
| Article 25 | Amazon Simple Storage Service (Amazon S3) Cross-Region Replication CRR () permet de maintenir une capacité et une disponibilité adéquates. CRRpermet la copie automatique et asynchrone des objets dans les compartiments Amazon S3 afin de garantir la disponibilité des données. | |
| Article 25 | La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative. |
Modèle
Le modèle est disponible sur GitHub : Operational Best Practices for Esquema Nacional de Seguridad () ENS Medium
