Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Bonnes pratiques de fonctionnement pour NBC TRMG
Les packs de conformité fournissent un cadre de conformité à usage général conçu pour vous permettre de créer des contrôles de gouvernance en matière de sécurité, d'exploitation ou d'optimisation des coûts à l'aide de AWS Config règles gérées ou personnalisées et d'actions correctives. AWS Config Les packs de conformité, en tant qu'exemples de modèle, ne sont pas conçus pour garantir pleinement la conformité à une norme de gouvernance ou de conformité spécifique. Il vous incombe de déterminer vous-même si votre utilisation des services est conforme aux exigences légales et réglementaires applicables.
Vous trouverez ci-dessous un exemple de correspondance entre le cadre des directives de gestion des risques technologiques (TRM) de la Banque nationale du Cambodge (NBC) et les règles de configuration AWS gérées. Chaque règle de configuration s'applique à une AWS ressource spécifique et concerne une ou plusieurs directives NBC TRM. Un cadre NBC TRM Guideline peut être associé à plusieurs règles de configuration. Reportez-vous au tableau ci-dessous pour obtenir plus de détails et des conseils relatifs à ces mappages.
Cet exemple de modèle de pack de conformité contient des mappages avec des contrôles au sein du cadre National Bank of Cambodia's (NBC) Technology Risk Management (TRM) Guidelines, accessible via le lien suivant : National Bank of Cambodia: Technology Risk Mangement Guidelines
| ID du contrôle | Description du contrôle | AWS Règle de configuration | Conseils |
|---|---|---|---|
| 3.1.1(d) | d) Parmi les contrôles importants à prendre en compte figurent : - Un processus systématique d'application et d'autorisation de la création de l'utilisateur IDs et de la matrice de contrôle d'accès - La réalisation d'une évaluation des risques et l'octroi de droits d'accès sur cette base. - Mise en œuvre d'un contrôle d'accès basé sur les rôles conçu pour garantir une séparation efficace des tâches - Modification des noms d'utilisateur par défaut and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Processus permettant de notifier en temps opportun à la fonction de sécurité des informations les ajouts, les suppressions et les changements de rôles des utilisateurs - Réconciliation périodique entre les utilisateurs d' IDs un système et les utilisateurs réels requis pour accéder et supprimer tout ce qui est inutile IDs, le cas échéant - Audit, journalisation et surveillance de l'accès aux actifs informatiques par tous les utilisateurs et - Envisager de désactiver les utilisateurs IDs des applications critiques qui êtes en congé prolongé | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité. | |
| 3.1.1(d) | d) Parmi les contrôles importants à prendre en compte figurent : - Un processus systématique d'application et d'autorisation de la création de l'utilisateur IDs et de la matrice de contrôle d'accès - La réalisation d'une évaluation des risques et l'octroi de droits d'accès sur cette base. - Mise en œuvre d'un contrôle d'accès basé sur les rôles conçu pour garantir une séparation efficace des tâches - Modification des noms d'utilisateur par défaut and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Processus permettant de notifier en temps opportun à la fonction de sécurité des informations les ajouts, les suppressions et les changements de rôles des utilisateurs - Réconciliation périodique entre les utilisateurs d' IDs un système et les utilisateurs réels requis pour accéder et supprimer tout ce qui est inutile IDs, le cas échéant - Audit, journalisation et surveillance de l'accès aux actifs informatiques par tous les utilisateurs et - Envisager de désactiver les utilisateurs IDs des applications critiques qui êtes en congé prolongé | La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs. | |
| 3.1.1(d) | d) Parmi les contrôles importants à prendre en compte figurent : - Un processus systématique d'application et d'autorisation de la création de l'utilisateur IDs et de la matrice de contrôle d'accès - La réalisation d'une évaluation des risques et l'octroi de droits d'accès sur cette base. - Mise en œuvre d'un contrôle d'accès basé sur les rôles conçu pour garantir une séparation efficace des tâches - Modification des noms d'utilisateur par défaut and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Processus permettant de notifier en temps opportun à la fonction de sécurité des informations les ajouts, les suppressions et les changements de rôles des utilisateurs - Réconciliation périodique entre les utilisateurs d' IDs un système et les utilisateurs réels requis pour accéder et supprimer tout ce qui est inutile IDs, le cas échéant - Audit, journalisation et surveillance de l'accès aux actifs informatiques par tous les utilisateurs et - Envisager de désactiver les utilisateurs IDs des applications critiques qui êtes en congé prolongé | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS. | |
| 3.1.1(d) | d) Parmi les contrôles importants à prendre en compte figurent : - Un processus systématique d'application et d'autorisation de la création de l'utilisateur IDs et de la matrice de contrôle d'accès - La réalisation d'une évaluation des risques et l'octroi de droits d'accès sur cette base. - Mise en œuvre d'un contrôle d'accès basé sur les rôles conçu pour garantir une séparation efficace des tâches - Modification des noms d'utilisateur par défaut and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Processus permettant de notifier en temps opportun à la fonction de sécurité des informations les ajouts, les suppressions et les changements de rôles des utilisateurs - Réconciliation périodique entre les utilisateurs d' IDs un système et les utilisateurs réels requis pour accéder et supprimer tout ce qui est inutile IDs, le cas échéant - Audit, journalisation et surveillance de l'accès aux actifs informatiques par tous les utilisateurs et - Envisager de désactiver les utilisateurs IDs des applications critiques qui êtes en congé prolongé | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
| 3.1.1(d) | d) Parmi les contrôles importants à prendre en compte figurent : - Un processus systématique d'application et d'autorisation de la création de l'utilisateur IDs et de la matrice de contrôle d'accès - La réalisation d'une évaluation des risques et l'octroi de droits d'accès sur cette base. - Mise en œuvre d'un contrôle d'accès basé sur les rôles conçu pour garantir une séparation efficace des tâches - Modification des noms d'utilisateur par défaut and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Processus permettant de notifier en temps opportun à la fonction de sécurité des informations les ajouts, les suppressions et les changements de rôles des utilisateurs - Réconciliation périodique entre les utilisateurs d' IDs un système et les utilisateurs réels requis pour accéder et supprimer tout ce qui est inutile IDs, le cas échéant - Audit, journalisation et surveillance de l'accès aux actifs informatiques par tous les utilisateurs et - Envisager de désactiver les utilisateurs IDs des applications critiques qui êtes en congé prolongé | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les Compte AWS informations qui ont accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
| 3.1.1(d) | d) Parmi les contrôles importants à prendre en compte figurent : - Un processus systématique d'application et d'autorisation de la création de l'utilisateur IDs et de la matrice de contrôle d'accès - La réalisation d'une évaluation des risques et l'octroi de droits d'accès sur cette base. - Mise en œuvre d'un contrôle d'accès basé sur les rôles conçu pour garantir une séparation efficace des tâches - Modification des noms d'utilisateur par défaut and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Processus permettant de notifier en temps opportun à la fonction de sécurité des informations les ajouts, les suppressions et les changements de rôles des utilisateurs - Réconciliation périodique entre les utilisateurs d' IDs un système et les utilisateurs réels requis pour accéder et supprimer tout ce qui est inutile IDs, le cas échéant - Audit, journalisation et surveillance de l'accès aux actifs informatiques par tous les utilisateurs et - Envisager de désactiver les utilisateurs IDs des applications critiques qui êtes en congé prolongé | Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement. | |
| 3.1.1(d) | d) Parmi les contrôles importants à prendre en compte figurent : - Un processus systématique d'application et d'autorisation de la création de l'utilisateur IDs et de la matrice de contrôle d'accès - La réalisation d'une évaluation des risques et l'octroi de droits d'accès sur cette base. - Mise en œuvre d'un contrôle d'accès basé sur les rôles conçu pour garantir une séparation efficace des tâches - Modification des noms d'utilisateur par défaut and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Processus permettant de notifier en temps opportun à la fonction de sécurité des informations les ajouts, les suppressions et les changements de rôles des utilisateurs - Réconciliation périodique entre les utilisateurs d' IDs un système et les utilisateurs réels requis pour accéder et supprimer tout ce qui est inutile IDs, le cas échéant - Audit, journalisation et surveillance de l'accès aux actifs informatiques par tous les utilisateurs et - Envisager de désactiver les utilisateurs IDs des applications critiques qui êtes en congé prolongé | L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. | |
| 3.1.1(d) | d) Parmi les contrôles importants à prendre en compte figurent : - Un processus systématique d'application et d'autorisation de la création de l'utilisateur IDs et de la matrice de contrôle d'accès - La réalisation d'une évaluation des risques et l'octroi de droits d'accès sur cette base. - Mise en œuvre d'un contrôle d'accès basé sur les rôles conçu pour garantir une séparation efficace des tâches - Modification des noms d'utilisateur par défaut and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Processus permettant de notifier en temps opportun à la fonction de sécurité des informations les ajouts, les suppressions et les changements de rôles des utilisateurs - Réconciliation périodique entre les utilisateurs d' IDs un système et les utilisateurs réels requis pour accéder et supprimer tout ce qui est inutile IDs, le cas échéant - Audit, journalisation et surveillance de l'accès aux actifs informatiques par tous les utilisateurs et - Envisager de désactiver les utilisateurs IDs des applications critiques qui êtes en congé prolongé | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| 3.1.1(d) | d) Parmi les contrôles importants à prendre en compte figurent : - Un processus systématique d'application et d'autorisation de la création de l'utilisateur IDs et de la matrice de contrôle d'accès - La réalisation d'une évaluation des risques et l'octroi de droits d'accès sur cette base. - Mise en œuvre d'un contrôle d'accès basé sur les rôles conçu pour garantir une séparation efficace des tâches - Modification des noms d'utilisateur par défaut and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Processus permettant de notifier en temps opportun à la fonction de sécurité des informations les ajouts, les suppressions et les changements de rôles des utilisateurs - Réconciliation périodique entre les utilisateurs d' IDs un système et les utilisateurs réels requis pour accéder et supprimer tout ce qui est inutile IDs, le cas échéant - Audit, journalisation et surveillance de l'accès aux actifs informatiques par tous les utilisateurs et - Envisager de désactiver les utilisateurs IDs des applications critiques qui êtes en congé prolongé | Activez cette règle pour notifier le personnel concerné par l'intermédiaire d'Amazon Simple Queue Service (Amazon SQS) ou d'Amazon Simple Notification Service (Amazon SNS) en cas d'échec d'une fonction. | |
| 3.1.1(d) | d) Parmi les contrôles importants à prendre en compte figurent : - Un processus systématique d'application et d'autorisation de la création de l'utilisateur IDs et de la matrice de contrôle d'accès - La réalisation d'une évaluation des risques et l'octroi de droits d'accès sur cette base. - Mise en œuvre d'un contrôle d'accès basé sur les rôles conçu pour garantir une séparation efficace des tâches - Modification des noms d'utilisateur par défaut and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Processus permettant de notifier en temps opportun à la fonction de sécurité des informations les ajouts, les suppressions et les changements de rôles des utilisateurs - Réconciliation périodique entre les utilisateurs d' IDs un système et les utilisateurs réels requis pour accéder et supprimer tout ce qui est inutile IDs, le cas échéant - Audit, journalisation et surveillance de l'accès aux actifs informatiques par tous les utilisateurs et - Envisager de désactiver les utilisateurs IDs des applications critiques qui êtes en congé prolongé | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
| 3.1.1(d) | d) Parmi les contrôles importants à prendre en compte figurent : - Un processus systématique d'application et d'autorisation de la création de l'utilisateur IDs et de la matrice de contrôle d'accès - La réalisation d'une évaluation des risques et l'octroi de droits d'accès sur cette base. - Mise en œuvre d'un contrôle d'accès basé sur les rôles conçu pour garantir une séparation efficace des tâches - Modification des noms d'utilisateur par défaut and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Processus permettant de notifier en temps opportun à la fonction de sécurité des informations les ajouts, les suppressions et les changements de rôles des utilisateurs - Réconciliation périodique entre les utilisateurs d' IDs un système et les utilisateurs réels requis pour accéder et supprimer tout ce qui est inutile IDs, le cas échéant - Audit, journalisation et surveillance de l'accès aux actifs informatiques par tous les utilisateurs et - Envisager de désactiver les utilisateurs IDs des applications critiques qui êtes en congé prolongé | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
| 3.1.1(d) | d) Parmi les contrôles importants à prendre en compte figurent : - Un processus systématique d'application et d'autorisation de la création de l'utilisateur IDs et de la matrice de contrôle d'accès - La réalisation d'une évaluation des risques et l'octroi de droits d'accès sur cette base. - Mise en œuvre d'un contrôle d'accès basé sur les rôles conçu pour garantir une séparation efficace des tâches - Modification des noms d'utilisateur par défaut and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Processus permettant de notifier en temps opportun à la fonction de sécurité des informations les ajouts, les suppressions et les changements de rôles des utilisateurs - Réconciliation périodique entre les utilisateurs d' IDs un système et les utilisateurs réels requis pour accéder et supprimer tout ce qui est inutile IDs, le cas échéant - Audit, journalisation et surveillance de l'accès aux actifs informatiques par tous les utilisateurs et - Envisager de désactiver les utilisateurs IDs des applications critiques qui êtes en congé prolongé | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| 3.1.1(d) | d) Parmi les contrôles importants à prendre en compte figurent : - Un processus systématique d'application et d'autorisation de la création de l'utilisateur IDs et de la matrice de contrôle d'accès - La réalisation d'une évaluation des risques et l'octroi de droits d'accès sur cette base. - Mise en œuvre d'un contrôle d'accès basé sur les rôles conçu pour garantir une séparation efficace des tâches - Modification des noms d'utilisateur par défaut and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Processus permettant de notifier en temps opportun à la fonction de sécurité des informations les ajouts, les suppressions et les changements de rôles des utilisateurs - Réconciliation périodique entre les utilisateurs d' IDs un système et les utilisateurs réels requis pour accéder et supprimer tout ce qui est inutile IDs, le cas échéant - Audit, journalisation et surveillance de l'accès aux actifs informatiques par tous les utilisateurs et - Envisager de désactiver les utilisateurs IDs des applications critiques qui êtes en congé prolongé | Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole. | |
| 3.1.1(d) | d) Parmi les contrôles importants à prendre en compte figurent : - Un processus systématique d'application et d'autorisation de la création de l'utilisateur IDs et de la matrice de contrôle d'accès - La réalisation d'une évaluation des risques et l'octroi de droits d'accès sur cette base. - Mise en œuvre d'un contrôle d'accès basé sur les rôles conçu pour garantir une séparation efficace des tâches - Modification des noms d'utilisateur par défaut and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Processus permettant de notifier en temps opportun à la fonction de sécurité des informations les ajouts, les suppressions et les changements de rôles des utilisateurs - Réconciliation périodique entre les utilisateurs d' IDs un système et les utilisateurs réels requis pour accéder et supprimer tout ce qui est inutile IDs, le cas échéant - Audit, journalisation et surveillance de l'accès aux actifs informatiques par tous les utilisateurs et - Envisager de désactiver les utilisateurs IDs des applications critiques qui êtes en congé prolongé | Assurez-vous que la durée minimale de conservation des données des journaux d'événements pour vos groupes de journaux est suffisante pour faciliter le dépannage et les enquêtes judiciaires. Le manque de données disponibles dans les journaux d'événements passés complique la reconstitution et l'identification des événements potentiellement malveillants. | |
| 3.1.1(d) | d) Parmi les contrôles importants à prendre en compte figurent : - Un processus systématique d'application et d'autorisation de la création de l'utilisateur IDs et de la matrice de contrôle d'accès - La réalisation d'une évaluation des risques et l'octroi de droits d'accès sur cette base. - Mise en œuvre d'un contrôle d'accès basé sur les rôles conçu pour garantir une séparation efficace des tâches - Modification des noms d'utilisateur par défaut and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Processus permettant de notifier en temps opportun à la fonction de sécurité des informations les ajouts, les suppressions et les changements de rôles des utilisateurs - Réconciliation périodique entre les utilisateurs d' IDs un système et les utilisateurs réels requis pour accéder et supprimer tout ce qui est inutile IDs, le cas échéant - Audit, journalisation et surveillance de l'accès aux actifs informatiques par tous les utilisateurs et - Envisager de désactiver les utilisateurs IDs des applications critiques qui êtes en congé prolongé | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
| 3.1.1(d) | d) Parmi les contrôles importants à prendre en compte figurent : - Un processus systématique d'application et d'autorisation de la création de l'utilisateur IDs et de la matrice de contrôle d'accès - La réalisation d'une évaluation des risques et l'octroi de droits d'accès sur cette base. - Mise en œuvre d'un contrôle d'accès basé sur les rôles conçu pour garantir une séparation efficace des tâches - Modification des noms d'utilisateur par défaut and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Processus permettant de notifier en temps opportun à la fonction de sécurité des informations les ajouts, les suppressions et les changements de rôles des utilisateurs - Réconciliation périodique entre les utilisateurs d' IDs un système et les utilisateurs réels requis pour accéder et supprimer tout ce qui est inutile IDs, le cas échéant - Audit, journalisation et surveillance de l'accès aux actifs informatiques par tous les utilisateurs et - Envisager de désactiver les utilisateurs IDs des applications critiques qui êtes en congé prolongé | Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur le Web ACLs régional et mondial. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait. | |
| 3.1.1(d) | d) Parmi les contrôles importants à prendre en compte figurent : - Un processus systématique d'application et d'autorisation de la création de l'utilisateur IDs et de la matrice de contrôle d'accès - La réalisation d'une évaluation des risques et l'octroi de droits d'accès sur cette base. - Mise en œuvre d'un contrôle d'accès basé sur les rôles conçu pour garantir une séparation efficace des tâches - Modification des noms d'utilisateur par défaut and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Processus permettant de notifier en temps opportun à la fonction de sécurité des informations les ajouts, les suppressions et les changements de rôles des utilisateurs - Réconciliation périodique entre les utilisateurs d' IDs un système et les utilisateurs réels requis pour accéder et supprimer tout ce qui est inutile IDs, le cas échéant - Audit, journalisation et surveillance de l'accès aux actifs informatiques par tous les utilisateurs et - Envisager de désactiver les utilisateurs IDs des applications critiques qui êtes en congé prolongé | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.1.1(d) | d) Parmi les contrôles importants à prendre en compte figurent : - Un processus systématique d'application et d'autorisation de la création de l'utilisateur IDs et de la matrice de contrôle d'accès - La réalisation d'une évaluation des risques et l'octroi de droits d'accès sur cette base. - Mise en œuvre d'un contrôle d'accès basé sur les rôles conçu pour garantir une séparation efficace des tâches - Modification des noms d'utilisateur par défaut and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Processus permettant de notifier en temps opportun à la fonction de sécurité des informations les ajouts, les suppressions et les changements de rôles des utilisateurs - Réconciliation périodique entre les utilisateurs d' IDs un système et les utilisateurs réels requis pour accéder et supprimer tout ce qui est inutile IDs, le cas échéant - Audit, journalisation et surveillance de l'accès aux actifs informatiques par tous les utilisateurs et - Envisager de désactiver les utilisateurs IDs des applications critiques qui êtes en congé prolongé | AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| 3.1.1(d) | d) Parmi les contrôles importants à prendre en compte figurent : - Un processus systématique d'application et d'autorisation de la création de l'utilisateur IDs et de la matrice de contrôle d'accès - La réalisation d'une évaluation des risques et l'octroi de droits d'accès sur cette base. - Mise en œuvre d'un contrôle d'accès basé sur les rôles conçu pour garantir une séparation efficace des tâches - Modification des noms d'utilisateur par défaut and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Processus permettant de notifier en temps opportun à la fonction de sécurité des informations les ajouts, les suppressions et les changements de rôles des utilisateurs - Réconciliation périodique entre les utilisateurs d' IDs un système et les utilisateurs réels requis pour accéder et supprimer tout ce qui est inutile IDs, le cas échéant - Audit, journalisation et surveillance de l'accès aux actifs informatiques par tous les utilisateurs et - Envisager de désactiver les utilisateurs IDs des applications critiques qui êtes en congé prolongé | La gestion centralisée Comptes AWS au sein des AWS Organisations permet de garantir la conformité des comptes. L'absence de gouvernance centralisée des comptes peut entraîner des configurations de comptes incohérentes, ce qui peut exposer des ressources et des données sensibles. | |
| 3.1.1(d) | d) Parmi les contrôles importants à prendre en compte figurent : - Un processus systématique d'application et d'autorisation de la création de l'utilisateur IDs et de la matrice de contrôle d'accès - La réalisation d'une évaluation des risques et l'octroi de droits d'accès sur cette base. - Mise en œuvre d'un contrôle d'accès basé sur les rôles conçu pour garantir une séparation efficace des tâches - Modification des noms d'utilisateur par défaut and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Processus permettant de notifier en temps opportun à la fonction de sécurité des informations les ajouts, les suppressions et les changements de rôles des utilisateurs - Réconciliation périodique entre les utilisateurs d' IDs un système et les utilisateurs réels requis pour accéder et supprimer tout ce qui est inutile IDs, le cas échéant - Audit, journalisation et surveillance de l'accès aux actifs informatiques par tous les utilisateurs et - Envisager de désactiver les utilisateurs IDs des applications critiques qui êtes en congé prolongé | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : kms: Déchiffrer, kms:ReEncryptFrom). Les valeurs réelles doivent refléter les politiques de votre organisation | |
| 3.1.1(d) | d) Parmi les contrôles importants à prendre en compte figurent : - Un processus systématique d'application et d'autorisation de la création de l'utilisateur IDs et de la matrice de contrôle d'accès - La réalisation d'une évaluation des risques et l'octroi de droits d'accès sur cette base. - Mise en œuvre d'un contrôle d'accès basé sur les rôles conçu pour garantir une séparation efficace des tâches - Modification des noms d'utilisateur par défaut and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Processus permettant de notifier en temps opportun à la fonction de sécurité des informations les ajouts, les suppressions et les changements de rôles des utilisateurs - Réconciliation périodique entre les utilisateurs d' IDs un système et les utilisateurs réels requis pour accéder et supprimer tout ce qui est inutile IDs, le cas échéant - Audit, journalisation et surveillance de l'accès aux actifs informatiques par tous les utilisateurs et - Envisager de désactiver les utilisateurs IDs des applications critiques qui êtes en congé prolongé | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège. | |
| 3.1.1(d) | d) Parmi les contrôles importants à prendre en compte figurent : - Un processus systématique d'application et d'autorisation de la création de l'utilisateur IDs et de la matrice de contrôle d'accès - La réalisation d'une évaluation des risques et l'octroi de droits d'accès sur cette base. - Mise en œuvre d'un contrôle d'accès basé sur les rôles conçu pour garantir une séparation efficace des tâches - Modification des noms d'utilisateur par défaut and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Processus permettant de notifier en temps opportun à la fonction de sécurité des informations les ajouts, les suppressions et les changements de rôles des utilisateurs - Réconciliation périodique entre les utilisateurs d' IDs un système et les utilisateurs réels requis pour accéder et supprimer tout ce qui est inutile IDs, le cas échéant - Audit, journalisation et surveillance de l'accès aux actifs informatiques par tous les utilisateurs et - Envisager de désactiver les utilisateurs IDs des applications critiques qui êtes en congé prolongé | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : kms: Déchiffrer, kms:ReEncryptFrom). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.1.1(d) | d) Parmi les contrôles importants à prendre en compte figurent : - Un processus systématique d'application et d'autorisation de la création de l'utilisateur IDs et de la matrice de contrôle d'accès - La réalisation d'une évaluation des risques et l'octroi de droits d'accès sur cette base. - Mise en œuvre d'un contrôle d'accès basé sur les rôles conçu pour garantir une séparation efficace des tâches - Modification des noms d'utilisateur par défaut and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Processus permettant de notifier en temps opportun à la fonction de sécurité des informations les ajouts, les suppressions et les changements de rôles des utilisateurs - Réconciliation périodique entre les utilisateurs d' IDs un système et les utilisateurs réels requis pour accéder et supprimer tout ce qui est inutile IDs, le cas échéant - Audit, journalisation et surveillance de l'accès aux actifs informatiques par tous les utilisateurs et - Envisager de désactiver les utilisateurs IDs des applications critiques qui êtes en congé prolongé | AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| 3.1.1(d) | d) Parmi les contrôles importants à prendre en compte figurent : - Un processus systématique d'application et d'autorisation de la création de l'utilisateur IDs et de la matrice de contrôle d'accès - La réalisation d'une évaluation des risques et l'octroi de droits d'accès sur cette base. - Mise en œuvre d'un contrôle d'accès basé sur les rôles conçu pour garantir une séparation efficace des tâches - Modification des noms d'utilisateur par défaut and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Processus permettant de notifier en temps opportun à la fonction de sécurité des informations les ajouts, les suppressions et les changements de rôles des utilisateurs - Réconciliation périodique entre les utilisateurs d' IDs un système et les utilisateurs réels requis pour accéder et supprimer tout ce qui est inutile IDs, le cas échéant - Audit, journalisation et surveillance de l'accès aux actifs informatiques par tous les utilisateurs et - Envisager de désactiver les utilisateurs IDs des applications critiques qui êtes en congé prolongé | EC2 les profils d'instance transmettent un rôle IAM à une EC2 instance. L'association d'un profil d'instance à vos instances peut faciliter la gestion du moindre privilège et des autorisations. | |
| 3.1.1(d) | d) Parmi les contrôles importants à prendre en compte figurent : - Un processus systématique d'application et d'autorisation de la création de l'utilisateur IDs et de la matrice de contrôle d'accès - La réalisation d'une évaluation des risques et l'octroi de droits d'accès sur cette base. - Mise en œuvre d'un contrôle d'accès basé sur les rôles conçu pour garantir une séparation efficace des tâches - Modification des noms d'utilisateur par défaut and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Processus permettant de notifier en temps opportun à la fonction de sécurité des informations les ajouts, les suppressions et les changements de rôles des utilisateurs - Réconciliation périodique entre les utilisateurs d' IDs un système et les utilisateurs réels requis pour accéder et supprimer tout ce qui est inutile IDs, le cas échéant - Audit, journalisation et surveillance de l'accès aux actifs informatiques par tous les utilisateurs et - Envisager de désactiver les utilisateurs IDs des applications critiques qui êtes en congé prolongé | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| 3.1.1(d) | d) Parmi les contrôles importants à prendre en compte figurent : - Un processus systématique d'application et d'autorisation de la création de l'utilisateur IDs et de la matrice de contrôle d'accès - La réalisation d'une évaluation des risques et l'octroi de droits d'accès sur cette base. - Mise en œuvre d'un contrôle d'accès basé sur les rôles conçu pour garantir une séparation efficace des tâches - Modification des noms d'utilisateur par défaut and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Processus permettant de notifier en temps opportun à la fonction de sécurité des informations les ajouts, les suppressions et les changements de rôles des utilisateurs - Réconciliation périodique entre les utilisateurs d' IDs un système et les utilisateurs réels requis pour accéder et supprimer tout ce qui est inutile IDs, le cas échéant - Audit, journalisation et surveillance de l'accès aux actifs informatiques par tous les utilisateurs et - Envisager de désactiver les utilisateurs IDs des applications critiques qui êtes en congé prolongé | Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges. | |
| 3.1.1(d) | d) Parmi les contrôles importants à prendre en compte figurent : - Un processus systématique d'application et d'autorisation de la création de l'utilisateur IDs et de la matrice de contrôle d'accès - La réalisation d'une évaluation des risques et l'octroi de droits d'accès sur cette base. - Mise en œuvre d'un contrôle d'accès basé sur les rôles conçu pour garantir une séparation efficace des tâches - Modification des noms d'utilisateur par défaut and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Processus permettant de notifier en temps opportun à la fonction de sécurité des informations les ajouts, les suppressions et les changements de rôles des utilisateurs - Réconciliation périodique entre les utilisateurs d' IDs un système et les utilisateurs réels requis pour accéder et supprimer tout ce qui est inutile IDs, le cas échéant - Audit, journalisation et surveillance de l'accès aux actifs informatiques par tous les utilisateurs et - Envisager de désactiver les utilisateurs IDs des applications critiques qui êtes en congé prolongé | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| 3.1.1(d) | d) Parmi les contrôles importants à prendre en compte figurent : - Un processus systématique d'application et d'autorisation de la création de l'utilisateur IDs et de la matrice de contrôle d'accès - La réalisation d'une évaluation des risques et l'octroi de droits d'accès sur cette base. - Mise en œuvre d'un contrôle d'accès basé sur les rôles conçu pour garantir une séparation efficace des tâches - Modification des noms d'utilisateur par défaut and/or passwords of systems and prohibiting sharing of user IDs and passwords of generic accounts - Modification of access rights whenever there is a change in role or responsibility and removal of access rights on cessation of employment/contract - Processus permettant de notifier en temps opportun à la fonction de sécurité des informations les ajouts, les suppressions et les changements de rôles des utilisateurs - Réconciliation périodique entre les utilisateurs d' IDs un système et les utilisateurs réels requis pour accéder et supprimer tout ce qui est inutile IDs, le cas échéant - Audit, journalisation et surveillance de l'accès aux actifs informatiques par tous les utilisateurs et - Envisager de désactiver les utilisateurs IDs des applications critiques qui êtes en congé prolongé | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| 3.1.1(f) | f) À des fins de responsabilisation, assurez-vous que les utilisateurs et les actifs informatiques sont identifiés de façon unique, et que leurs actions sont vérifiables. | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
| 3.1.1(f) | f) À des fins de responsabilisation, assurez-vous que les utilisateurs et les actifs informatiques sont identifiés de façon unique, et que leurs actions sont vérifiables. | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
| 3.1.1(f) | f) À des fins de responsabilisation, assurez-vous que les utilisateurs et les actifs informatiques sont identifiés de façon unique, et que leurs actions sont vérifiables. | Assurez-vous que la journalisation des audits est activée sur vos domaines Amazon OpenSearch Service. La journalisation des audits vous permet de suivre l'activité des utilisateurs sur vos OpenSearch domaines, notamment les réussites et les échecs d'authentification, les demandes OpenSearch, les modifications d'index et les requêtes de recherche entrantes. | |
| 3.1.1(f) | f) À des fins de responsabilisation, assurez-vous que les utilisateurs et les actifs informatiques sont identifiés de façon unique, et que leurs actions sont vérifiables. | Pour recueillir des informations sur les connexions et les activités des utilisateurs sur votre cluster Amazon Redshift, assurez-vous que la journalisation des audits est activée. | |
| 3.1.1(f) | f) À des fins de responsabilisation, assurez-vous que les utilisateurs et les actifs informatiques sont identifiés de façon unique, et que leurs actions sont vérifiables. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.1.1(f) | f) À des fins de responsabilisation, assurez-vous que les utilisateurs et les actifs informatiques sont identifiés de façon unique, et que leurs actions sont vérifiables. | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| 3.1.1(f) | f) À des fins de responsabilisation, assurez-vous que les utilisateurs et les actifs informatiques sont identifiés de façon unique, et que leurs actions sont vérifiables. | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| 3.1.1(h) | h) Les administrateurs système, les responsables de la sécurité, les programmeurs et la main-d'œuvre effectuant des opérations critiques sont automatiquement en mesure de causer de graves dommages aux systèmes financiers qu'ils gèrent ou exploitent, en raison de leurs fonctions et de leur accès privilégié. La main-d'œuvre disposant de droits d'accès élevés au système doit être étroitement supervisée et toutes les activités liées aux systèmes doivent être enregistrées, car elle dispose des connaissances d'initiés et des ressources nécessaires pour contourner les contrôles et les procédures de sécurité. Certaines des pratiques de contrôle et de sécurité énumérées ci-dessous doivent être prises en compte : - Implémentation de l'authentification à deux facteurs pour les utilisateurs privilégiés - Mise en place de contrôles stricts sur l'accès à distance des utilisateurs privilégiés - Limitation du nombre d'utilisateurs privilégiés - Octroi d'un accès privilégié sur une base need-to-do « need-to-have » ou « » d'un audit régulier ou d'un examen de gestion des journaux - Interdire le partage des privilèges IDs et de leurs codes d'accès - Interdire aux fournisseurs et aux sous-traitants d'obtenir un accès privilégié aux systèmes sans supervision et surveillance étroites et _ Protéger les données de sauvegarde contre tout accès non autorisé | Les informations d'identification sont auditées pour les appareils, les utilisateurs et les processus autorisés en veillant à ce que les clés d'accès IAM soient alternées conformément à la politique de l'organisation. La modification régulière des clés d'accès est une bonne pratique de sécurité. Cela permet de raccourcir la période pendant laquelle une clé d'accès est active et de réduire l'impact commercial en cas de compromission des clés. Cette règle nécessite une valeur de rotation des clés d'accès (configuration par défaut : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| 3.1.1(h) | h) Les administrateurs système, les responsables de la sécurité, les programmeurs et la main-d'œuvre effectuant des opérations critiques sont automatiquement en mesure de causer de graves dommages aux systèmes financiers qu'ils gèrent ou exploitent, en raison de leurs fonctions et de leur accès privilégié. La main-d'œuvre disposant de droits d'accès élevés au système doit être étroitement supervisée et toutes les activités liées aux systèmes doivent être enregistrées, car elle dispose des connaissances d'initiés et des ressources nécessaires pour contourner les contrôles et les procédures de sécurité. Certaines des pratiques de contrôle et de sécurité énumérées ci-dessous doivent être prises en compte : - Implémentation de l'authentification à deux facteurs pour les utilisateurs privilégiés - Mise en place de contrôles stricts sur l'accès à distance des utilisateurs privilégiés - Limitation du nombre d'utilisateurs privilégiés - Octroi d'un accès privilégié sur une base need-to-do « need-to-have » ou « » d'un audit régulier ou d'un examen de gestion des journaux - Interdire le partage des privilèges IDs et de leurs codes d'accès - Interdire aux fournisseurs et aux sous-traitants d'obtenir un accès privilégié aux systèmes sans supervision et surveillance étroites et _ Protéger les données de sauvegarde contre tout accès non autorisé | Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal. | |
| 3.1.1(h) | h) Les administrateurs système, les responsables de la sécurité, les programmeurs et la main-d'œuvre effectuant des opérations critiques sont automatiquement en mesure de causer de graves dommages aux systèmes financiers qu'ils gèrent ou exploitent, en raison de leurs fonctions et de leur accès privilégié. La main-d'œuvre disposant de droits d'accès élevés au système doit être étroitement supervisée et toutes les activités liées aux systèmes doivent être enregistrées, car elle dispose des connaissances d'initiés et des ressources nécessaires pour contourner les contrôles et les procédures de sécurité. Certaines des pratiques de contrôle et de sécurité énumérées ci-dessous doivent être prises en compte : - Implémentation de l'authentification à deux facteurs pour les utilisateurs privilégiés - Mise en place de contrôles stricts sur l'accès à distance des utilisateurs privilégiés - Limitation du nombre d'utilisateurs privilégiés - Octroi d'un accès privilégié sur une base need-to-do « need-to-have » ou « » d'un audit régulier ou d'un examen de gestion des journaux - Interdire le partage des privilèges IDs et de leurs codes d'accès - Interdire aux fournisseurs et aux sous-traitants d'obtenir un accès privilégié aux systèmes sans supervision et surveillance étroites et _ Protéger les données de sauvegarde contre tout accès non autorisé | Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.1.1(h) | h) Les administrateurs système, les responsables de la sécurité, les programmeurs et la main-d'œuvre effectuant des opérations critiques sont automatiquement en mesure de causer de graves dommages aux systèmes financiers qu'ils gèrent ou exploitent, en raison de leurs fonctions et de leur accès privilégié. La main-d'œuvre disposant de droits d'accès élevés au système doit être étroitement supervisée et toutes les activités liées aux systèmes doivent être enregistrées, car elle dispose des connaissances d'initiés et des ressources nécessaires pour contourner les contrôles et les procédures de sécurité. Certaines des pratiques de contrôle et de sécurité énumérées ci-dessous doivent être prises en compte : - Implémentation de l'authentification à deux facteurs pour les utilisateurs privilégiés - Mise en place de contrôles stricts sur l'accès à distance des utilisateurs privilégiés - Limitation du nombre d'utilisateurs privilégiés - Octroi d'un accès privilégié sur une base need-to-do « need-to-have » ou « » d'un audit régulier ou d'un examen de gestion des journaux - Interdire le partage des privilèges IDs et de leurs codes d'accès - Interdire aux fournisseurs et aux sous-traitants d'obtenir un accès privilégié aux systèmes sans supervision et surveillance étroites et _ Protéger les données de sauvegarde contre tout accès non autorisé | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| 3.1.1(h) | h) Les administrateurs système, les responsables de la sécurité, les programmeurs et la main-d'œuvre effectuant des opérations critiques sont automatiquement en mesure de causer de graves dommages aux systèmes financiers qu'ils gèrent ou exploitent, en raison de leurs fonctions et de leur accès privilégié. La main-d'œuvre disposant de droits d'accès élevés au système doit être étroitement supervisée et toutes les activités liées aux systèmes doivent être enregistrées, car elle dispose des connaissances d'initiés et des ressources nécessaires pour contourner les contrôles et les procédures de sécurité. Certaines des pratiques de contrôle et de sécurité énumérées ci-dessous doivent être prises en compte : - Implémentation de l'authentification à deux facteurs pour les utilisateurs privilégiés - Mise en place de contrôles stricts sur l'accès à distance des utilisateurs privilégiés - Limitation du nombre d'utilisateurs privilégiés - Octroi d'un accès privilégié sur une base need-to-do « need-to-have » ou « » d'un audit régulier ou d'un examen de gestion des journaux - Interdire le partage des privilèges IDs et de leurs codes d'accès - Interdire aux fournisseurs et aux sous-traitants d'obtenir un accès privilégié aux systèmes sans supervision et surveillance étroites et _ Protéger les données de sauvegarde contre tout accès non autorisé | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité. | |
| 3.1.1(h) | h) Les administrateurs système, les responsables de la sécurité, les programmeurs et la main-d'œuvre effectuant des opérations critiques sont automatiquement en mesure de causer de graves dommages aux systèmes financiers qu'ils gèrent ou exploitent, en raison de leurs fonctions et de leur accès privilégié. La main-d'œuvre disposant de droits d'accès élevés au système doit être étroitement supervisée et toutes les activités liées aux systèmes doivent être enregistrées, car elle dispose des connaissances d'initiés et des ressources nécessaires pour contourner les contrôles et les procédures de sécurité. Certaines des pratiques de contrôle et de sécurité énumérées ci-dessous doivent être prises en compte : - Implémentation de l'authentification à deux facteurs pour les utilisateurs privilégiés - Mise en place de contrôles stricts sur l'accès à distance des utilisateurs privilégiés - Limitation du nombre d'utilisateurs privilégiés - Octroi d'un accès privilégié sur une base need-to-do « need-to-have » ou « » d'un audit régulier ou d'un examen de gestion des journaux - Interdire le partage des privilèges IDs et de leurs codes d'accès - Interdire aux fournisseurs et aux sous-traitants d'obtenir un accès privilégié aux systèmes sans supervision et surveillance étroites et _ Protéger les données de sauvegarde contre tout accès non autorisé | Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs. | |
| 3.1.1(h) | h) Les administrateurs système, les responsables de la sécurité, les programmeurs et la main-d'œuvre effectuant des opérations critiques sont automatiquement en mesure de causer de graves dommages aux systèmes financiers qu'ils gèrent ou exploitent, en raison de leurs fonctions et de leur accès privilégié. La main-d'œuvre disposant de droits d'accès élevés au système doit être étroitement supervisée et toutes les activités liées aux systèmes doivent être enregistrées, car elle dispose des connaissances d'initiés et des ressources nécessaires pour contourner les contrôles et les procédures de sécurité. Certaines des pratiques de contrôle et de sécurité énumérées ci-dessous doivent être prises en compte : - Implémentation de l'authentification à deux facteurs pour les utilisateurs privilégiés - Mise en place de contrôles stricts sur l'accès à distance des utilisateurs privilégiés - Limitation du nombre d'utilisateurs privilégiés - Octroi d'un accès privilégié sur une base need-to-do « need-to-have » ou « » d'un audit régulier ou d'un examen de gestion des journaux - Interdire le partage des privilèges IDs et de leurs codes d'accès - Interdire aux fournisseurs et aux sous-traitants d'obtenir un accès privilégié aux systèmes sans supervision et surveillance étroites et _ Protéger les données de sauvegarde contre tout accès non autorisé | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
| 3.1.1(h) | h) Les administrateurs système, les responsables de la sécurité, les programmeurs et la main-d'œuvre effectuant des opérations critiques sont automatiquement en mesure de causer de graves dommages aux systèmes financiers qu'ils gèrent ou exploitent, en raison de leurs fonctions et de leur accès privilégié. La main-d'œuvre disposant de droits d'accès élevés au système doit être étroitement supervisée et toutes les activités liées aux systèmes doivent être enregistrées, car elle dispose des connaissances d'initiés et des ressources nécessaires pour contourner les contrôles et les procédures de sécurité. Certaines des pratiques de contrôle et de sécurité énumérées ci-dessous doivent être prises en compte : - Implémentation de l'authentification à deux facteurs pour les utilisateurs privilégiés - Mise en place de contrôles stricts sur l'accès à distance des utilisateurs privilégiés - Limitation du nombre d'utilisateurs privilégiés - Octroi d'un accès privilégié sur une base need-to-do « ou need-to-have » d'un audit régulier ou d'un examen de gestion des journaux - Interdire le partage des privilèges IDs et de leurs codes d'accès - Interdire aux fournisseurs et aux sous-traitants d'obtenir un accès privilégié aux systèmes sans supervision et surveillance étroites et _ Protéger les données de sauvegarde contre tout accès non autorisé | AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| 3.1.1(h) | h) Les administrateurs système, les responsables de la sécurité, les programmeurs et la main-d'œuvre effectuant des opérations critiques sont automatiquement en mesure de causer de graves dommages aux systèmes financiers qu'ils gèrent ou exploitent, en raison de leurs fonctions et de leur accès privilégié. La main-d'œuvre disposant de droits d'accès élevés au système doit être étroitement supervisée et toutes les activités liées aux systèmes doivent être enregistrées, car elle dispose des connaissances d'initiés et des ressources nécessaires pour contourner les contrôles et les procédures de sécurité. Certaines des pratiques de contrôle et de sécurité énumérées ci-dessous doivent être prises en compte : - Implémentation de l'authentification à deux facteurs pour les utilisateurs privilégiés - Mise en place de contrôles stricts sur l'accès à distance des utilisateurs privilégiés - Limitation du nombre d'utilisateurs privilégiés - Octroi d'un accès privilégié sur une base need-to-do « ou need-to-have » d'un audit régulier ou d'un examen de gestion des journaux - Interdire le partage des privilèges IDs et de leurs codes d'accès - Interdire aux fournisseurs et aux sous-traitants d'obtenir un accès privilégié aux systèmes sans supervision et surveillance étroites et _ Protéger les données de sauvegarde contre tout accès non autorisé | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles. | |
| 3.1.1(h) | h) Les administrateurs système, les responsables de la sécurité, les programmeurs et la main-d'œuvre effectuant des opérations critiques sont automatiquement en mesure de causer de graves dommages aux systèmes financiers qu'ils gèrent ou exploitent, en raison de leurs fonctions et de leur accès privilégié. La main-d'œuvre disposant de droits d'accès élevés au système doit être étroitement supervisée et toutes les activités liées aux systèmes doivent être enregistrées, car elle dispose des connaissances d'initiés et des ressources nécessaires pour contourner les contrôles et les procédures de sécurité. Certaines des pratiques de contrôle et de sécurité énumérées ci-dessous doivent être prises en compte : - Implémentation de l'authentification à deux facteurs pour les utilisateurs privilégiés - Mise en place de contrôles stricts sur l'accès à distance des utilisateurs privilégiés - Limitation du nombre d'utilisateurs privilégiés - Octroi d'un accès privilégié sur une base need-to-do « ou need-to-have » d'un audit régulier ou d'un examen de gestion des journaux - Interdire le partage des privilèges IDs et de leurs codes d'accès - Interdire aux fournisseurs et aux sous-traitants d'obtenir un accès privilégié aux systèmes sans supervision et surveillance étroites et _ Protéger les données de sauvegarde contre tout accès non autorisé | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. La MFA ajoute une couche supplémentaire de protection pour les informations d'identification de connexion En exigeant le MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
| 3.1.1(h) | h) Les administrateurs système, les responsables de la sécurité, les programmeurs et la main-d'œuvre effectuant des opérations critiques sont automatiquement en mesure de causer de graves dommages aux systèmes financiers qu'ils gèrent ou exploitent, en raison de leurs fonctions et de leur accès privilégié. La main-d'œuvre disposant de droits d'accès élevés au système doit être étroitement supervisée et toutes les activités liées aux systèmes doivent être enregistrées, car elle dispose des connaissances d'initiés et des ressources nécessaires pour contourner les contrôles et les procédures de sécurité. Certaines des pratiques de contrôle et de sécurité énumérées ci-dessous doivent être prises en compte : - Implémentation de l'authentification à deux facteurs pour les utilisateurs privilégiés - Mise en place de contrôles stricts sur l'accès à distance des utilisateurs privilégiés - Limitation du nombre d'utilisateurs privilégiés - Octroi d'un accès privilégié sur une base need-to-do « ou need-to-have » d'un audit régulier ou d'un examen de gestion des journaux - Interdire le partage des privilèges IDs et de leurs codes d'accès - Interdire aux fournisseurs et aux sous-traitants d'obtenir un accès privilégié aux systèmes sans supervision et surveillance étroites et _ Protéger les données de sauvegarde contre tout accès non autorisé | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. La MFA ajoute une couche supplémentaire de protection pour les informations d'identification de connexion En exigeant le MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
| 3.1.1(h) | h) Les administrateurs système, les responsables de la sécurité, les programmeurs et la main-d'œuvre effectuant des opérations critiques sont automatiquement en mesure de causer de graves dommages aux systèmes financiers qu'ils gèrent ou exploitent, en raison de leurs fonctions et de leur accès privilégié. La main-d'œuvre disposant de droits d'accès élevés au système doit être étroitement supervisée et toutes les activités liées aux systèmes doivent être enregistrées, car elle dispose des connaissances d'initiés et des ressources nécessaires pour contourner les contrôles et les procédures de sécurité. Certaines des pratiques de contrôle et de sécurité énumérées ci-dessous doivent être prises en compte : - Implémentation de l'authentification à deux facteurs pour les utilisateurs privilégiés - Mise en place de contrôles stricts sur l'accès à distance des utilisateurs privilégiés - Limitation du nombre d'utilisateurs privilégiés - Octroi d'un accès privilégié sur une base need-to-do « ou need-to-have » d'un audit régulier ou d'un examen de gestion des journaux - Interdire le partage des privilèges IDs et de leurs codes d'accès - Interdire aux fournisseurs et aux sous-traitants d'obtenir un accès privilégié aux systèmes sans supervision et surveillance étroites et _ Protéger les données de sauvegarde contre tout accès non autorisé | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
| 3.1.1(h) | h) Les administrateurs système, les responsables de la sécurité, les programmeurs et la main-d'œuvre effectuant des opérations critiques sont automatiquement en mesure de causer de graves dommages aux systèmes financiers qu'ils gèrent ou exploitent, en raison de leurs fonctions et de leur accès privilégié. La main-d'œuvre disposant de droits d'accès élevés au système doit être étroitement supervisée et toutes les activités liées aux systèmes doivent être enregistrées, car elle dispose des connaissances d'initiés et des ressources nécessaires pour contourner les contrôles et les procédures de sécurité. Certaines des pratiques de contrôle et de sécurité énumérées ci-dessous doivent être prises en compte : - Implémentation de l'authentification à deux facteurs pour les utilisateurs privilégiés - Mise en place de contrôles stricts sur l'accès à distance des utilisateurs privilégiés - Limitation du nombre d'utilisateurs privilégiés - Octroi d'un accès privilégié sur une base need-to-do « ou need-to-have » d'un audit régulier ou d'un examen de gestion des journaux - Interdire le partage des privilèges IDs et de leurs codes d'accès - Interdire aux fournisseurs et aux sous-traitants d'obtenir un accès privilégié aux systèmes sans supervision et surveillance étroites et _ Protéger les données de sauvegarde contre tout accès non autorisé | La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs. | |
| 3.1.1(h) | h) Les administrateurs système, les responsables de la sécurité, les programmeurs et la main-d'œuvre effectuant des opérations critiques sont automatiquement en mesure de causer de graves dommages aux systèmes financiers qu'ils gèrent ou exploitent, en raison de leurs fonctions et de leur accès privilégié. La main-d'œuvre disposant de droits d'accès élevés au système doit être étroitement supervisée et toutes les activités liées aux systèmes doivent être enregistrées, car elle dispose des connaissances d'initiés et des ressources nécessaires pour contourner les contrôles et les procédures de sécurité. Certaines des pratiques de contrôle et de sécurité énumérées ci-dessous doivent être prises en compte : - Implémentation de l'authentification à deux facteurs pour les utilisateurs privilégiés - Mise en place de contrôles stricts sur l'accès à distance des utilisateurs privilégiés - Limitation du nombre d'utilisateurs privilégiés - Octroi d'un accès privilégié sur une base need-to-do « ou need-to-have » d'un audit régulier ou d'un examen de gestion des journaux - Interdire le partage des privilèges IDs et de leurs codes d'accès - Interdire aux fournisseurs et aux sous-traitants d'obtenir un accès privilégié aux systèmes sans supervision et surveillance étroites et _ Protéger les données de sauvegarde contre tout accès non autorisé | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS. | |
| 3.1.1(h) | h) Les administrateurs système, les responsables de la sécurité, les programmeurs et la main-d'œuvre effectuant des opérations critiques sont automatiquement en mesure de causer de graves dommages aux systèmes financiers qu'ils gèrent ou exploitent, en raison de leurs fonctions et de leur accès privilégié. La main-d'œuvre disposant de droits d'accès élevés au système doit être étroitement supervisée et toutes les activités liées aux systèmes doivent être enregistrées, car elle dispose des connaissances d'initiés et des ressources nécessaires pour contourner les contrôles et les procédures de sécurité. Certaines des pratiques de contrôle et de sécurité énumérées ci-dessous doivent être prises en compte : - Implémentation de l'authentification à deux facteurs pour les utilisateurs privilégiés - Mise en place de contrôles stricts sur l'accès à distance des utilisateurs privilégiés - Limitation du nombre d'utilisateurs privilégiés - Octroi d'un accès privilégié sur une base need-to-do « ou need-to-have » d'un audit régulier ou d'un examen de gestion des journaux - Interdire le partage des privilèges IDs et de leurs codes d'accès - Interdire aux fournisseurs et aux sous-traitants d'obtenir un accès privilégié aux systèmes sans supervision et surveillance étroites et _ Protéger les données de sauvegarde contre tout accès non autorisé | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
| 3.1.1(h) | h) Les administrateurs système, les responsables de la sécurité, les programmeurs et la main-d'œuvre effectuant des opérations critiques sont automatiquement en mesure de causer de graves dommages aux systèmes financiers qu'ils gèrent ou exploitent, en raison de leurs fonctions et de leur accès privilégié. La main-d'œuvre disposant de droits d'accès élevés au système doit être étroitement supervisée et toutes les activités liées aux systèmes doivent être enregistrées, car elle dispose des connaissances d'initiés et des ressources nécessaires pour contourner les contrôles et les procédures de sécurité. Certaines des pratiques de contrôle et de sécurité énumérées ci-dessous doivent être prises en compte : - Implémentation de l'authentification à deux facteurs pour les utilisateurs privilégiés - Mise en place de contrôles stricts sur l'accès à distance des utilisateurs privilégiés - Limitation du nombre d'utilisateurs privilégiés - Octroi d'un accès privilégié sur une base need-to-do « ou need-to-have » d'un audit régulier ou d'un examen de gestion des journaux - Interdire le partage des privilèges IDs et de leurs codes d'accès - Interdire aux fournisseurs et aux sous-traitants d'obtenir un accès privilégié aux systèmes sans supervision et surveillance étroites et _ Protéger les données de sauvegarde contre tout accès non autorisé | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les Compte AWS informations qui ont accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
| 3.1.1(h) | h) Les administrateurs système, les responsables de la sécurité, les programmeurs et la main-d'œuvre effectuant des opérations critiques sont automatiquement en mesure de causer de graves dommages aux systèmes financiers qu'ils gèrent ou exploitent, en raison de leurs fonctions et de leur accès privilégié. La main-d'œuvre disposant de droits d'accès élevés au système doit être étroitement supervisée et toutes les activités liées aux systèmes doivent être enregistrées, car elle dispose des connaissances d'initiés et des ressources nécessaires pour contourner les contrôles et les procédures de sécurité. Certaines des pratiques de contrôle et de sécurité énumérées ci-dessous doivent être prises en compte : - Implémentation de l'authentification à deux facteurs pour les utilisateurs privilégiés - Mise en place de contrôles stricts sur l'accès à distance des utilisateurs privilégiés - Limitation du nombre d'utilisateurs privilégiés - Octroi d'un accès privilégié sur une base need-to-do « ou need-to-have » d'un audit régulier ou d'un examen de gestion des journaux - Interdire le partage des privilèges IDs et de leurs codes d'accès - Interdire aux fournisseurs et aux sous-traitants d'obtenir un accès privilégié aux systèmes sans supervision et surveillance étroites et _ Protéger les données de sauvegarde contre tout accès non autorisé | L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. | |
| 3.1.1(h) | h) Les administrateurs système, les responsables de la sécurité, les programmeurs et la main-d'œuvre effectuant des opérations critiques sont automatiquement en mesure de causer de graves dommages aux systèmes financiers qu'ils gèrent ou exploitent, en raison de leurs fonctions et de leur accès privilégié. La main-d'œuvre disposant de droits d'accès élevés au système doit être étroitement supervisée et toutes les activités liées aux systèmes doivent être enregistrées, car elle dispose des connaissances d'initiés et des ressources nécessaires pour contourner les contrôles et les procédures de sécurité. Certaines des pratiques de contrôle et de sécurité énumérées ci-dessous doivent être prises en compte : - Implémentation de l'authentification à deux facteurs pour les utilisateurs privilégiés - Mise en place de contrôles stricts sur l'accès à distance des utilisateurs privilégiés - Limitation du nombre d'utilisateurs privilégiés - Octroi d'un accès privilégié sur une base need-to-do « ou need-to-have » d'un audit régulier ou d'un examen de gestion des journaux - Interdire le partage des privilèges IDs et de leurs codes d'accès - Interdire aux fournisseurs et aux sous-traitants d'obtenir un accès privilégié aux systèmes sans supervision et surveillance étroites et _ Protéger les données de sauvegarde contre tout accès non autorisé | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
| 3.1.1(h) | h) Les administrateurs système, les responsables de la sécurité, les programmeurs et la main-d'œuvre effectuant des opérations critiques sont automatiquement en mesure de causer de graves dommages aux systèmes financiers qu'ils gèrent ou exploitent, en raison de leurs fonctions et de leur accès privilégié. La main-d'œuvre disposant de droits d'accès élevés au système doit être étroitement supervisée et toutes les activités liées aux systèmes doivent être enregistrées, car elle dispose des connaissances d'initiés et des ressources nécessaires pour contourner les contrôles et les procédures de sécurité. Certaines des pratiques de contrôle et de sécurité énumérées ci-dessous doivent être prises en compte : - Implémentation de l'authentification à deux facteurs pour les utilisateurs privilégiés - Mise en place de contrôles stricts sur l'accès à distance des utilisateurs privilégiés - Limitation du nombre d'utilisateurs privilégiés - Octroi d'un accès privilégié sur une base need-to-do « ou need-to-have » d'un audit régulier ou d'un examen de gestion des journaux - Interdire le partage des privilèges IDs et de leurs codes d'accès - Interdire aux fournisseurs et aux sous-traitants d'obtenir un accès privilégié aux systèmes sans supervision et surveillance étroites et _ Protéger les données de sauvegarde contre tout accès non autorisé | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
| 3.1.1(h) | h) Les administrateurs système, les responsables de la sécurité, les programmeurs et la main-d'œuvre effectuant des opérations critiques sont automatiquement en mesure de causer de graves dommages aux systèmes financiers qu'ils gèrent ou exploitent, en raison de leurs fonctions et de leur accès privilégié. La main-d'œuvre disposant de droits d'accès élevés au système doit être étroitement supervisée et toutes les activités liées aux systèmes doivent être enregistrées, car elle dispose des connaissances d'initiés et des ressources nécessaires pour contourner les contrôles et les procédures de sécurité. Certaines des pratiques de contrôle et de sécurité énumérées ci-dessous doivent être prises en compte : - Implémentation de l'authentification à deux facteurs pour les utilisateurs privilégiés - Mise en place de contrôles stricts sur l'accès à distance des utilisateurs privilégiés - Limitation du nombre d'utilisateurs privilégiés - Octroi d'un accès privilégié sur une base need-to-do « ou need-to-have » d'un audit régulier ou d'un examen de gestion des journaux - Interdire le partage des privilèges IDs et de leurs codes d'accès - Interdire aux fournisseurs et aux sous-traitants d'obtenir un accès privilégié aux systèmes sans supervision et surveillance étroites et _ Protéger les données de sauvegarde contre tout accès non autorisé | Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole. | |
| 3.1.1(h) | h) Les administrateurs système, les responsables de la sécurité, les programmeurs et la main-d'œuvre effectuant des opérations critiques sont automatiquement en mesure de causer de graves dommages aux systèmes financiers qu'ils gèrent ou exploitent, en raison de leurs fonctions et de leur accès privilégié. La main-d'œuvre disposant de droits d'accès élevés au système doit être étroitement supervisée et toutes les activités liées aux systèmes doivent être enregistrées, car elle dispose des connaissances d'initiés et des ressources nécessaires pour contourner les contrôles et les procédures de sécurité. Certaines des pratiques de contrôle et de sécurité énumérées ci-dessous doivent être prises en compte : - Implémentation de l'authentification à deux facteurs pour les utilisateurs privilégiés - Mise en place de contrôles stricts sur l'accès à distance des utilisateurs privilégiés - Limitation du nombre d'utilisateurs privilégiés - Octroi d'un accès privilégié sur une base need-to-do « ou need-to-have » d'un audit régulier ou d'un examen de gestion des journaux - Interdire le partage des privilèges IDs et de leurs codes d'accès - Interdire aux fournisseurs et aux sous-traitants d'obtenir un accès privilégié aux systèmes sans supervision et surveillance étroites et _ Protéger les données de sauvegarde contre tout accès non autorisé | Assurez-vous que la durée minimale de conservation des données des journaux d'événements pour vos groupes de journaux est suffisante pour faciliter le dépannage et les enquêtes judiciaires. Le manque de données disponibles dans les journaux d'événements passés complique la reconstitution et l'identification des événements potentiellement malveillants. | |
| 3.1.1(h) | h) Les administrateurs système, les responsables de la sécurité, les programmeurs et la main-d'œuvre effectuant des opérations critiques sont automatiquement en mesure de causer de graves dommages aux systèmes financiers qu'ils gèrent ou exploitent, en raison de leurs fonctions et de leur accès privilégié. La main-d'œuvre disposant de droits d'accès élevés au système doit être étroitement supervisée et toutes les activités liées aux systèmes doivent être enregistrées, car elle dispose des connaissances d'initiés et des ressources nécessaires pour contourner les contrôles et les procédures de sécurité. Certaines des pratiques de contrôle et de sécurité énumérées ci-dessous doivent être prises en compte : - Implémentation de l'authentification à deux facteurs pour les utilisateurs privilégiés - Mise en place de contrôles stricts sur l'accès à distance des utilisateurs privilégiés - Limitation du nombre d'utilisateurs privilégiés - Octroi d'un accès privilégié sur une base need-to-do « ou need-to-have » d'un audit régulier ou d'un examen de gestion des journaux - Interdire le partage des privilèges IDs et de leurs codes d'accès - Interdire aux fournisseurs et aux sous-traitants d'obtenir un accès privilégié aux systèmes sans supervision et surveillance étroites et _ Protéger les données de sauvegarde contre tout accès non autorisé | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
| 3.1.1(h) | h) Les administrateurs système, les responsables de la sécurité, les programmeurs et la main-d'œuvre effectuant des opérations critiques sont automatiquement en mesure de causer de graves dommages aux systèmes financiers qu'ils gèrent ou exploitent, en raison de leurs fonctions et de leur accès privilégié. La main-d'œuvre disposant de droits d'accès élevés au système doit être étroitement supervisée et toutes les activités liées aux systèmes doivent être enregistrées, car elle dispose des connaissances d'initiés et des ressources nécessaires pour contourner les contrôles et les procédures de sécurité. Certaines des pratiques de contrôle et de sécurité énumérées ci-dessous doivent être prises en compte : - Implémentation de l'authentification à deux facteurs pour les utilisateurs privilégiés - Mise en place de contrôles stricts sur l'accès à distance des utilisateurs privilégiés - Limitation du nombre d'utilisateurs privilégiés - Octroi d'un accès privilégié sur une base need-to-do « ou need-to-have » d'un audit régulier ou d'un examen de gestion des journaux - Interdire le partage des privilèges IDs et de leurs codes d'accès - Interdire aux fournisseurs et aux sous-traitants d'obtenir un accès privilégié aux systèmes sans supervision et surveillance étroites et _ Protéger les données de sauvegarde contre tout accès non autorisé | Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur le Web ACLs régional et mondial. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait. | |
| 3.1.1(h) | h) Les administrateurs système, les responsables de la sécurité, les programmeurs et la main-d'œuvre effectuant des opérations critiques sont automatiquement en mesure de causer de graves dommages aux systèmes financiers qu'ils gèrent ou exploitent, en raison de leurs fonctions et de leur accès privilégié. La main-d'œuvre disposant de droits d'accès élevés au système doit être étroitement supervisée et toutes les activités liées aux systèmes doivent être enregistrées, car elle dispose des connaissances d'initiés et des ressources nécessaires pour contourner les contrôles et les procédures de sécurité. Certaines des pratiques de contrôle et de sécurité énumérées ci-dessous doivent être prises en compte : - Implémentation de l'authentification à deux facteurs pour les utilisateurs privilégiés - Mise en place de contrôles stricts sur l'accès à distance des utilisateurs privilégiés - Limitation du nombre d'utilisateurs privilégiés - Octroi d'un accès privilégié sur une base need-to-do « ou need-to-have » d'un audit régulier ou d'un examen de gestion des journaux - Interdire le partage des privilèges IDs et de leurs codes d'accès - Interdire aux fournisseurs et aux sous-traitants d'obtenir un accès privilégié aux systèmes sans supervision et surveillance étroites et _ Protéger les données de sauvegarde contre tout accès non autorisé | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.1.1(h) | h) Les administrateurs système, les responsables de la sécurité, les programmeurs et la main-d'œuvre effectuant des opérations critiques sont automatiquement en mesure de causer de graves dommages aux systèmes financiers qu'ils gèrent ou exploitent, en raison de leurs fonctions et de leur accès privilégié. La main-d'œuvre disposant de droits d'accès élevés au système doit être étroitement supervisée et toutes les activités liées aux systèmes doivent être enregistrées, car elle dispose des connaissances d'initiés et des ressources nécessaires pour contourner les contrôles et les procédures de sécurité. Certaines des pratiques de contrôle et de sécurité énumérées ci-dessous doivent être prises en compte : - Implémentation de l'authentification à deux facteurs pour les utilisateurs privilégiés - Mise en place de contrôles stricts sur l'accès à distance des utilisateurs privilégiés - Limitation du nombre d'utilisateurs privilégiés - Octroi d'un accès privilégié sur une base need-to-do « ou need-to-have » d'un audit régulier ou d'un examen de gestion des journaux - Interdire le partage des privilèges IDs et de leurs codes d'accès - Interdire aux fournisseurs et aux sous-traitants d'obtenir un accès privilégié aux systèmes sans supervision et surveillance étroites et _ Protéger les données de sauvegarde contre tout accès non autorisé | La gestion centralisée Comptes AWS au sein des AWS Organisations permet de garantir la conformité des comptes. L'absence de gouvernance centralisée des comptes peut entraîner des configurations de comptes incohérentes, ce qui peut exposer des ressources et des données sensibles. | |
| 3.1.1(h) | h) Les administrateurs système, les responsables de la sécurité, les programmeurs et la main-d'œuvre effectuant des opérations critiques sont automatiquement en mesure de causer de graves dommages aux systèmes financiers qu'ils gèrent ou exploitent, en raison de leurs fonctions et de leur accès privilégié. La main-d'œuvre disposant de droits d'accès élevés au système doit être étroitement supervisée et toutes les activités liées aux systèmes doivent être enregistrées, car elle dispose des connaissances d'initiés et des ressources nécessaires pour contourner les contrôles et les procédures de sécurité. Certaines des pratiques de contrôle et de sécurité énumérées ci-dessous doivent être prises en compte : - Implémentation de l'authentification à deux facteurs pour les utilisateurs privilégiés - Mise en place de contrôles stricts sur l'accès à distance des utilisateurs privilégiés - Limitation du nombre d'utilisateurs privilégiés - Octroi d'un accès privilégié sur une base need-to-do « ou need-to-have » d'un audit régulier ou d'un examen de gestion des journaux - Interdire le partage des privilèges IDs et de leurs codes d'accès - Interdire aux fournisseurs et aux sous-traitants d'obtenir un accès privilégié aux systèmes sans supervision et surveillance étroites et _ Protéger les données de sauvegarde contre tout accès non autorisé | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : kms: Déchiffrer, kms:ReEncryptFrom). Les valeurs réelles doivent refléter les politiques de votre organisation | |
| 3.1.1(h) | h) Les administrateurs système, les responsables de la sécurité, les programmeurs et la main-d'œuvre effectuant des opérations critiques sont automatiquement en mesure de causer de graves dommages aux systèmes financiers qu'ils gèrent ou exploitent, en raison de leurs fonctions et de leur accès privilégié. La main-d'œuvre disposant de droits d'accès élevés au système doit être étroitement supervisée et toutes les activités liées aux systèmes doivent être enregistrées, car elle dispose des connaissances d'initiés et des ressources nécessaires pour contourner les contrôles et les procédures de sécurité. Certaines des pratiques de contrôle et de sécurité énumérées ci-dessous doivent être prises en compte : - Implémentation de l'authentification à deux facteurs pour les utilisateurs privilégiés - Mise en place de contrôles stricts sur l'accès à distance des utilisateurs privilégiés - Limitation du nombre d'utilisateurs privilégiés - Octroi d'un accès privilégié sur une base need-to-do « ou need-to-have » d'un audit régulier ou d'un examen de gestion des journaux - Interdire le partage des privilèges IDs et de leurs codes d'accès - Interdire aux fournisseurs et aux sous-traitants d'obtenir un accès privilégié aux systèmes sans supervision et surveillance étroites et _ Protéger les données de sauvegarde contre tout accès non autorisé | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège. | |
| 3.1.1(h) | h) Les administrateurs système, les responsables de la sécurité, les programmeurs et la main-d'œuvre effectuant des opérations critiques sont automatiquement en mesure de causer de graves dommages aux systèmes financiers qu'ils gèrent ou exploitent, en raison de leurs fonctions et de leur accès privilégié. La main-d'œuvre disposant de droits d'accès élevés au système doit être étroitement supervisée et toutes les activités liées aux systèmes doivent être enregistrées, car elle dispose des connaissances d'initiés et des ressources nécessaires pour contourner les contrôles et les procédures de sécurité. Certaines des pratiques de contrôle et de sécurité énumérées ci-dessous doivent être prises en compte : - Implémentation de l'authentification à deux facteurs pour les utilisateurs privilégiés - Mise en place de contrôles stricts sur l'accès à distance des utilisateurs privilégiés - Limitation du nombre d'utilisateurs privilégiés - Octroi d'un accès privilégié sur une base need-to-do « ou need-to-have » d'un audit régulier ou d'un examen de gestion des journaux - Interdire le partage des privilèges IDs et de leurs codes d'accès - Interdire aux fournisseurs et aux sous-traitants d'obtenir un accès privilégié aux systèmes sans supervision et surveillance étroites et _ Protéger les données de sauvegarde contre tout accès non autorisé | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : kms: Déchiffrer, kms:ReEncryptFrom). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.1.1(h) | h) Les administrateurs système, les responsables de la sécurité, les programmeurs et la main-d'œuvre effectuant des opérations critiques sont automatiquement en mesure de causer de graves dommages aux systèmes financiers qu'ils gèrent ou exploitent, en raison de leurs fonctions et de leur accès privilégié. La main-d'œuvre disposant de droits d'accès élevés au système doit être étroitement supervisée et toutes les activités liées aux systèmes doivent être enregistrées, car elle dispose des connaissances d'initiés et des ressources nécessaires pour contourner les contrôles et les procédures de sécurité. Certaines des pratiques de contrôle et de sécurité énumérées ci-dessous doivent être prises en compte : - Implémentation de l'authentification à deux facteurs pour les utilisateurs privilégiés - Mise en place de contrôles stricts sur l'accès à distance des utilisateurs privilégiés - Limitation du nombre d'utilisateurs privilégiés - Octroi d'un accès privilégié sur une base need-to-do « ou need-to-have » d'un audit régulier ou d'un examen de gestion des journaux - Interdire le partage des privilèges IDs et de leurs codes d'accès - Interdire aux fournisseurs et aux sous-traitants d'obtenir un accès privilégié aux systèmes sans supervision et surveillance étroites et _ Protéger les données de sauvegarde contre tout accès non autorisé | AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| 3.1.1(h) | h) Les administrateurs système, les responsables de la sécurité, les programmeurs et la main-d'œuvre effectuant des opérations critiques sont automatiquement en mesure de causer de graves dommages aux systèmes financiers qu'ils gèrent ou exploitent, en raison de leurs fonctions et de leur accès privilégié. La main-d'œuvre disposant de droits d'accès élevés au système doit être étroitement supervisée et toutes les activités liées aux systèmes doivent être enregistrées, car elle dispose des connaissances d'initiés et des ressources nécessaires pour contourner les contrôles et les procédures de sécurité. Certaines des pratiques de contrôle et de sécurité énumérées ci-dessous doivent être prises en compte : - Implémentation de l'authentification à deux facteurs pour les utilisateurs privilégiés - Mise en place de contrôles stricts sur l'accès à distance des utilisateurs privilégiés - Limitation du nombre d'utilisateurs privilégiés - Octroi d'un accès privilégié sur une base need-to-do « ou need-to-have » d'un audit régulier ou d'un examen de gestion des journaux - Interdire le partage des privilèges IDs et de leurs codes d'accès - Interdire aux fournisseurs et aux sous-traitants d'obtenir un accès privilégié aux systèmes sans supervision et surveillance étroites et _ Protéger les données de sauvegarde contre tout accès non autorisé | EC2 les profils d'instance transmettent un rôle IAM à une EC2 instance. L'association d'un profil d'instance à vos instances peut faciliter la gestion du moindre privilège et des autorisations. | |
| 3.1.1(h) | h) Les administrateurs système, les responsables de la sécurité, les programmeurs et la main-d'œuvre effectuant des opérations critiques sont automatiquement en mesure de causer de graves dommages aux systèmes financiers qu'ils gèrent ou exploitent, en raison de leurs fonctions et de leur accès privilégié. La main-d'œuvre disposant de droits d'accès élevés au système doit être étroitement supervisée et toutes les activités liées aux systèmes doivent être enregistrées, car elle dispose des connaissances d'initiés et des ressources nécessaires pour contourner les contrôles et les procédures de sécurité. Certaines des pratiques de contrôle et de sécurité énumérées ci-dessous doivent être prises en compte : - Implémentation de l'authentification à deux facteurs pour les utilisateurs privilégiés - Mise en place de contrôles stricts sur l'accès à distance des utilisateurs privilégiés - Limitation du nombre d'utilisateurs privilégiés - Octroi d'un accès privilégié sur une base need-to-do « ou need-to-have » d'un audit régulier ou d'un examen de gestion des journaux - Interdire le partage des privilèges IDs et de leurs codes d'accès - Interdire aux fournisseurs et aux sous-traitants d'obtenir un accès privilégié aux systèmes sans supervision et surveillance étroites et _ Protéger les données de sauvegarde contre tout accès non autorisé | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| 3.1.1(h) | h) Les administrateurs système, les responsables de la sécurité, les programmeurs et la main-d'œuvre effectuant des opérations critiques sont automatiquement en mesure de causer de graves dommages aux systèmes financiers qu'ils gèrent ou exploitent, en raison de leurs fonctions et de leur accès privilégié. La main-d'œuvre disposant de droits d'accès élevés au système doit être étroitement supervisée et toutes les activités liées aux systèmes doivent être enregistrées, car elle dispose des connaissances d'initiés et des ressources nécessaires pour contourner les contrôles et les procédures de sécurité. Certaines des pratiques de contrôle et de sécurité énumérées ci-dessous doivent être prises en compte : - Implémentation de l'authentification à deux facteurs pour les utilisateurs privilégiés - Mise en place de contrôles stricts sur l'accès à distance des utilisateurs privilégiés - Limitation du nombre d'utilisateurs privilégiés - Octroi d'un accès privilégié sur une base need-to-do « ou need-to-have » d'un audit régulier ou d'un examen de gestion des journaux - Interdire le partage des privilèges IDs et de leurs codes d'accès - Interdire aux fournisseurs et aux sous-traitants d'obtenir un accès privilégié aux systèmes sans supervision et surveillance étroites et _ Protéger les données de sauvegarde contre tout accès non autorisé | Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges. | |
| 3.1.1(h) | h) Les administrateurs système, les responsables de la sécurité, les programmeurs et la main-d'œuvre effectuant des opérations critiques sont automatiquement en mesure de causer de graves dommages aux systèmes financiers qu'ils gèrent ou exploitent, en raison de leurs fonctions et de leur accès privilégié. La main-d'œuvre disposant de droits d'accès élevés au système doit être étroitement supervisée et toutes les activités liées aux systèmes doivent être enregistrées, car elle dispose des connaissances d'initiés et des ressources nécessaires pour contourner les contrôles et les procédures de sécurité. Certaines des pratiques de contrôle et de sécurité énumérées ci-dessous doivent être prises en compte : - Implémentation de l'authentification à deux facteurs pour les utilisateurs privilégiés - Mise en place de contrôles stricts sur l'accès à distance des utilisateurs privilégiés - Limitation du nombre d'utilisateurs privilégiés - Octroi d'un accès privilégié sur une base need-to-do « ou need-to-have » d'un audit régulier ou d'un examen de gestion des journaux - Interdire le partage des privilèges IDs et de leurs codes d'accès - Interdire aux fournisseurs et aux sous-traitants d'obtenir un accès privilégié aux systèmes sans supervision et surveillance étroites et _ Protéger les données de sauvegarde contre tout accès non autorisé | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| 3.1.1(h) | h) Les administrateurs système, les responsables de la sécurité, les programmeurs et la main-d'œuvre effectuant des opérations critiques sont automatiquement en mesure de causer de graves dommages aux systèmes financiers qu'ils gèrent ou exploitent, en raison de leurs fonctions et de leur accès privilégié. La main-d'œuvre disposant de droits d'accès élevés au système doit être étroitement supervisée et toutes les activités liées aux systèmes doivent être enregistrées, car elle dispose des connaissances d'initiés et des ressources nécessaires pour contourner les contrôles et les procédures de sécurité. Certaines des pratiques de contrôle et de sécurité énumérées ci-dessous doivent être prises en compte : - Implémentation de l'authentification à deux facteurs pour les utilisateurs privilégiés - Mise en place de contrôles stricts sur l'accès à distance des utilisateurs privilégiés - Limitation du nombre d'utilisateurs privilégiés - Octroi d'un accès privilégié sur une base need-to-do « ou need-to-have » d'un audit régulier ou d'un examen de gestion des journaux - Interdire le partage des privilèges IDs et de leurs codes d'accès - Interdire aux fournisseurs et aux sous-traitants d'obtenir un accès privilégié aux systèmes sans supervision et surveillance étroites et _ Protéger les données de sauvegarde contre tout accès non autorisé | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| 3.1.1(h) | h) Les administrateurs système, les responsables de la sécurité, les programmeurs et la main-d'œuvre effectuant des opérations critiques sont automatiquement en mesure de causer de graves dommages aux systèmes financiers qu'ils gèrent ou exploitent, en raison de leurs fonctions et de leur accès privilégié. La main-d'œuvre disposant de droits d'accès élevés au système doit être étroitement supervisée et toutes les activités liées aux systèmes doivent être enregistrées, car elle dispose des connaissances d'initiés et des ressources nécessaires pour contourner les contrôles et les procédures de sécurité. Certaines des pratiques de contrôle et de sécurité énumérées ci-dessous doivent être prises en compte : - Implémentation de l'authentification à deux facteurs pour les utilisateurs privilégiés - Mise en place de contrôles stricts sur l'accès à distance des utilisateurs privilégiés - Limitation du nombre d'utilisateurs privilégiés - Octroi d'un accès privilégié sur une base need-to-do « ou need-to-have » d'un audit régulier ou d'un examen de gestion des journaux - Interdire le partage des privilèges IDs et de leurs codes d'accès - Interdire aux fournisseurs et aux sous-traitants d'obtenir un accès privilégié aux systèmes sans supervision et surveillance étroites et _ Protéger les données de sauvegarde contre tout accès non autorisé | Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données. | |
| 3.1.1(h) | h) Les administrateurs système, les responsables de la sécurité, les programmeurs et la main-d'œuvre effectuant des opérations critiques sont automatiquement en mesure de causer de graves dommages aux systèmes financiers qu'ils gèrent ou exploitent, en raison de leurs fonctions et de leur accès privilégié. La main-d'œuvre disposant de droits d'accès élevés au système doit être étroitement supervisée et toutes les activités liées aux systèmes doivent être enregistrées, car elle dispose des connaissances d'initiés et des ressources nécessaires pour contourner les contrôles et les procédures de sécurité. Certaines des pratiques de contrôle et de sécurité énumérées ci-dessous doivent être prises en compte : - Implémentation de l'authentification à deux facteurs pour les utilisateurs privilégiés - Mise en place de contrôles stricts sur l'accès à distance des utilisateurs privilégiés - Limitation du nombre d'utilisateurs privilégiés - Octroi d'un accès privilégié sur une base need-to-do « ou need-to-have » d'un audit régulier ou d'un examen de gestion des journaux - Interdire le partage des privilèges IDs et de leurs codes d'accès - Interdire aux fournisseurs et aux sous-traitants d'obtenir un accès privilégié aux systèmes sans supervision et surveillance étroites et _ Protéger les données de sauvegarde contre tout accès non autorisé | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos dans les instances Amazon RDS, activez le chiffrement au repos pour protéger ces données. | |
| 3.1.1(h) | h) Les administrateurs système, les responsables de la sécurité, les programmeurs et la main-d'œuvre effectuant des opérations critiques sont automatiquement en mesure de causer de graves dommages aux systèmes financiers qu'ils gèrent ou exploitent, en raison de leurs fonctions et de leur accès privilégié. La main-d'œuvre disposant de droits d'accès élevés au système doit être étroitement supervisée et toutes les activités liées aux systèmes doivent être enregistrées, car elle dispose des connaissances d'initiés et des ressources nécessaires pour contourner les contrôles et les procédures de sécurité. Certaines des pratiques de contrôle et de sécurité énumérées ci-dessous doivent être prises en compte : - Implémentation de l'authentification à deux facteurs pour les utilisateurs privilégiés - Mise en place de contrôles stricts sur l'accès à distance des utilisateurs privilégiés - Limitation du nombre d'utilisateurs privilégiés - Octroi d'un accès privilégié sur une base need-to-do « ou need-to-have » d'un audit régulier ou d'un examen de gestion des journaux - Interdire le partage des privilèges IDs et de leurs codes d'accès - Interdire aux fournisseurs et aux sous-traitants d'obtenir un accès privilégié aux systèmes sans supervision et surveillance étroites et _ Protéger les données de sauvegarde contre tout accès non autorisé | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données. | |
| 3.1.1(h) | h) Les administrateurs système, les responsables de la sécurité, les programmeurs et la main-d'œuvre effectuant des opérations critiques sont automatiquement en mesure de causer de graves dommages aux systèmes financiers qu'ils gèrent ou exploitent, en raison de leurs fonctions et de leur accès privilégié. La main-d'œuvre disposant de droits d'accès élevés au système doit être étroitement supervisée et toutes les activités liées aux systèmes doivent être enregistrées, car elle dispose des connaissances d'initiés et des ressources nécessaires pour contourner les contrôles et les procédures de sécurité. Certaines des pratiques de contrôle et de sécurité énumérées ci-dessous doivent être prises en compte : - Implémentation de l'authentification à deux facteurs pour les utilisateurs privilégiés - Mise en place de contrôles stricts sur l'accès à distance des utilisateurs privilégiés - Limitation du nombre d'utilisateurs privilégiés - Octroi d'un accès privilégié sur une base need-to-do « ou need-to-have » d'un audit régulier ou d'un examen de gestion des journaux - Interdire le partage des privilèges IDs et de leurs codes d'accès - Interdire aux fournisseurs et aux sous-traitants d'obtenir un accès privilégié aux systèmes sans supervision et surveillance étroites et _ Protéger les données de sauvegarde contre tout accès non autorisé | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour votre Amazon Elastic File System (EFS). | |
| 3.1.2(a) | a) Le service BFI doit installer des dispositifs de sécurité réseau, tels que des pare-feu, des logiciels antivirus et contre les programmes malveillants, ainsi que des systèmes de détection et de prévention des intrusions, au niveau des points critiques de son infrastructure informatique, afin de protéger l'environnement du réseau. | Assurez-vous que AWS le WAF est activé sur les Elastic Load Balancers (ELB) pour protéger les applications Web. Un WAF permet de protéger vos applications Web ou APIs contre les exploits Web courants. Ces attaques Web peuvent affecter la disponibilité, compromettre la sécurité ou consommer des ressources excessives dans votre environnement. | |
| 3.1.2(a) | a) Le service BFI doit installer des dispositifs de sécurité réseau, tels que des pare-feu, des logiciels antivirus et contre les programmes malveillants, ainsi que des systèmes de détection et de prévention des intrusions, au niveau des points critiques de son infrastructure informatique, afin de protéger l'environnement du réseau. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| 3.1.2(a) | a) Le service BFI doit installer des dispositifs de sécurité réseau, tels que des pare-feu, des logiciels antivirus et contre les programmes malveillants, ainsi que des systèmes de détection et de prévention des intrusions, au niveau des points critiques de son infrastructure informatique, afin de protéger l'environnement du réseau. | AWS Le WAF vous permet de configurer un ensemble de règles (appelé liste de contrôle d'accès Web (ACL Web)) qui autorisent, bloquent ou comptent les requêtes Web en fonction de règles et de conditions de sécurité Web personnalisables que vous définissez. Assurez-vous que votre étape Amazon API Gateway est associée à une liste ACL Web WAF pour la protéger contre les attaques malveillantes | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Assurez-vous que l'intégrité du réseau est protégée en vous assurant que les certificats X509 sont émis par AWS ACM. Ces certificats doivent être valides et non expirés. Cette règle nécessite une valeur pour daysToExpiration (valeur des meilleures pratiques de sécuritéAWS fondamentales : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés pour ne pas prendre en compte les en-têtes http. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. Node-to-nodele chiffrement permet le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. Node-to-nodele chiffrement permet le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Assurez-vous que vos Elastic Load Balancers (ELBs) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les Compte AWS informations qui ont accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Activez cette règle pour notifier le personnel concerné par l'intermédiaire d'Amazon Simple Queue Service (Amazon SQS) ou d'Amazon Simple Notification Service (Amazon SNS) en cas d'échec d'une fonction. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur le Web ACLs régional et mondial. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les EC2 instances Amazon peuvent contenir des informations sensibles et un contrôle d'accès est requis pour ces comptes. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et d'autres services au sein d'Amazon VPC, sans avoir besoin de passerelle Internet, d'appareil NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez EC2 des instances Amazon à un Amazon VPC pour gérer correctement l'accès. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les passerelles Internet ne sont connectées qu'à Amazon Virtual Private Cloud (Amazon VPC) autorisé. Les passerelles Internet permettent un accès bidirectionnel à Internet depuis et vers le réseau Amazon VPC, ce qui peut potentiellement entraîner un accès non autorisé aux ressources Amazon VPC. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Assurez-vous que les tables de EC2 routage Amazon ne disposent pas de routes illimitées vers une passerelle Internet. La suppression ou la limitation de l'accès à Internet pour les charges de travail au sein d'Amazon VPCs peut réduire les accès involontaires au sein de votre environnement. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux sur lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. EC2 les ressources ne doivent pas être accessibles au public, car cela peut permettre un accès involontaire à vos applications ou à vos serveurs. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Le routage VPC amélioré oblige tout le trafic COPY et UNLOAD entre le cluster et les référentiels de données à passer par votre réseau Amazon VPC. Vous pouvez ensuite utiliser les fonctionnalités VPC, telles que les groupes de sécurité et les listes de contrôle d'accès réseau, pour sécuriser le trafic réseau. Vous pouvez également utiliser les journaux de flux VPC pour surveiller le trafic réseau. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Assurez-vous que les étapes de l'API REST Amazon API Gateway sont configurées avec des certificats SSL pour permettre aux systèmes backend d'authentifier que les demandes proviennent d'API Gateway. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.1.2(c) | c) Des contrôles doivent être mis en œuvre pour garantir la sécurité des informations dans les réseaux ainsi que la protection des services connectés contre tout accès non autorisé. Les points suivants doivent particulièrement être pris en compte : - Les responsabilités et les procédures de gestion des équipements du réseau doivent être définies - La responsabilité opérationnelle des réseaux doit être séparée des opérations informatiques si nécessaire - Des contrôles spécifiques doivent être réalisés pour préserver la confidentialité et l'intégrité des données transitant via les réseaux publics ou les réseaux sans fil, et pour protéger les systèmes et applications connectés (y compris les protocoles de chiffrement réseau lors de la connexion à des systèmes/réseaux non sécurisés). - Une journalisation et une surveillance appropriées doivent être réalisées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées - Les activités de gestion doivent être étroitement coordonnées à la fois pour optimiser le service de l'organisation et pour garantir que les contrôles sont appliqués de manière cohérente sur l'ensemble de l'infrastructure de traitement de l'information - Les systèmes du réseau doivent être authentifiés - Les connexions non sécurisées au réseau doivent être limitées | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
| 3.1.2(e) | e) Les services réseau peuvent aller d'une simple bande passante non gérée à des services sophistiqués tels qu'un VPN, VoIP (voix sur IP), VSAT, etc. Les fonctionnalités de sécurité des services réseau doivent comprendre les éléments suivants : - Une technologie appliquée à la sécurité des services réseau telle que l'authentification, le chiffrement et les contrôles de connexion au réseau - Des paramètres techniques obligatoires pour garantir une connexion sécurisée aux services réseau conformément aux règles de sécurité et de connexion au réseau - Des procédures liées à l'utilisation des services réseau afin de restreindre l'accès aux services ou applications réseau, si nécessaire | Assurez-vous que l'intégrité du réseau est protégée en vous assurant que les certificats X509 sont émis par AWS ACM. Ces certificats doivent être valides et non expirés. Cette règle nécessite une valeur pour daysToExpiration (valeur des meilleures pratiques de sécuritéAWS fondamentales : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| 3.1.2(e) | e) Les services réseau peuvent aller d'une simple bande passante non gérée à des services sophistiqués tels qu'un VPN, VoIP (voix sur IP), VSAT, etc. Les fonctionnalités de sécurité des services réseau doivent comprendre les éléments suivants : - Une technologie appliquée à la sécurité des services réseau telle que l'authentification, le chiffrement et les contrôles de connexion au réseau - Des paramètres techniques obligatoires pour garantir une connexion sécurisée aux services réseau conformément aux règles de sécurité et de connexion au réseau - Des procédures liées à l'utilisation des services réseau afin de restreindre l'accès aux services ou applications réseau, si nécessaire | Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3.1.2(e) | e) Les services réseau peuvent aller d'une simple bande passante non gérée à des services sophistiqués tels qu'un VPN, VoIP (voix sur IP), VSAT, etc. Les fonctionnalités de sécurité des services réseau doivent comprendre les éléments suivants : - Une technologie appliquée à la sécurité des services réseau telle que l'authentification, le chiffrement et les contrôles de connexion au réseau - Des paramètres techniques obligatoires pour garantir une connexion sécurisée aux services réseau conformément aux règles de sécurité et de connexion au réseau - Des procédures liées à l'utilisation des services réseau afin de restreindre l'accès aux services ou applications réseau, si nécessaire | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes. | |
| 3.1.2(e) | e) Les services réseau peuvent aller d'une simple bande passante non gérée à des services sophistiqués tels qu'un VPN, VoIP (voix sur IP), VSAT, etc. Les fonctionnalités de sécurité des services réseau doivent comprendre les éléments suivants : - Une technologie appliquée à la sécurité des services réseau telle que l'authentification, le chiffrement et les contrôles de connexion au réseau - Des paramètres techniques obligatoires pour garantir une connexion sécurisée aux services réseau conformément aux règles de sécurité et de connexion au réseau - Des procédures liées à l'utilisation des services réseau afin de restreindre l'accès aux services ou applications réseau, si nécessaire | Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3.1.2(e) | e) Les services réseau peuvent aller d'une simple bande passante non gérée à des services sophistiqués tels qu'un VPN, VoIP (voix sur IP), VSAT, etc. Les fonctionnalités de sécurité des services réseau doivent comprendre les éléments suivants : - Une technologie appliquée à la sécurité des services réseau telle que l'authentification, le chiffrement et les contrôles de connexion au réseau - Des paramètres techniques obligatoires pour garantir une connexion sécurisée aux services réseau conformément aux règles de sécurité et de connexion au réseau - Des procédures liées à l'utilisation des services réseau afin de restreindre l'accès aux services ou applications réseau, si nécessaire | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3.1.2(e) | e) Les services réseau peuvent aller d'une simple bande passante non gérée à des services sophistiqués tels qu'un VPN, VoIP (voix sur IP), VSAT, etc. Les fonctionnalités de sécurité des services réseau doivent comprendre les éléments suivants : - Une technologie appliquée à la sécurité des services réseau telle que l'authentification, le chiffrement et les contrôles de connexion au réseau - Des paramètres techniques obligatoires pour garantir une connexion sécurisée aux services réseau conformément aux règles de sécurité et de connexion au réseau - Des procédures liées à l'utilisation des services réseau afin de restreindre l'accès aux services ou applications réseau, si nécessaire | Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés pour ne pas prendre en compte les en-têtes http. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3.1.2(e) | e) Les services réseau peuvent aller d'une simple bande passante non gérée à des services sophistiqués tels qu'un VPN, VoIP (voix sur IP), VSAT, etc. Les fonctionnalités de sécurité des services réseau doivent comprendre les éléments suivants : - Une technologie appliquée à la sécurité des services réseau telle que l'authentification, le chiffrement et les contrôles de connexion au réseau - Des paramètres techniques obligatoires pour garantir une connexion sécurisée aux services réseau conformément aux règles de sécurité et de connexion au réseau - Des procédures liées à l'utilisation des services réseau afin de restreindre l'accès aux services ou applications réseau, si nécessaire | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. Node-to-nodele chiffrement permet le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3.1.2(e) | e) Les services réseau peuvent aller d'une simple bande passante non gérée à des services sophistiqués tels qu'un VPN, VoIP (voix sur IP), VSAT, etc. Les fonctionnalités de sécurité des services réseau doivent comprendre les éléments suivants : - Une technologie appliquée à la sécurité des services réseau telle que l'authentification, le chiffrement et les contrôles de connexion au réseau - Des paramètres techniques obligatoires pour garantir une connexion sécurisée aux services réseau conformément aux règles de sécurité et de connexion au réseau - Des procédures liées à l'utilisation des services réseau afin de restreindre l'accès aux services ou applications réseau, si nécessaire | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. Node-to-nodele chiffrement permet le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3.1.2(e) | e) Les services réseau peuvent aller d'une simple bande passante non gérée à des services sophistiqués tels qu'un VPN, VoIP (voix sur IP), VSAT, etc. Les fonctionnalités de sécurité des services réseau doivent comprendre les éléments suivants : - Une technologie appliquée à la sécurité des services réseau telle que l'authentification, le chiffrement et les contrôles de connexion au réseau - Des paramètres techniques obligatoires pour garantir une connexion sécurisée aux services réseau conformément aux règles de sécurité et de connexion au réseau - Des procédures liées à l'utilisation des services réseau afin de restreindre l'accès aux services ou applications réseau, si nécessaire | Assurez-vous que vos Elastic Load Balancers (ELBs) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3.1.2(e) | e) Les services réseau peuvent aller d'une simple bande passante non gérée à des services sophistiqués tels qu'un VPN, VoIP (voix sur IP), VSAT, etc. Les fonctionnalités de sécurité des services réseau doivent comprendre les éléments suivants : - Une technologie appliquée à la sécurité des services réseau telle que l'authentification, le chiffrement et les contrôles de connexion au réseau - Des paramètres techniques obligatoires pour garantir une connexion sécurisée aux services réseau conformément aux règles de sécurité et de connexion au réseau - Des procédures liées à l'utilisation des services réseau afin de restreindre l'accès aux services ou applications réseau, si nécessaire | Assurez-vous que les étapes de l'API REST Amazon API Gateway sont configurées avec des certificats SSL pour permettre aux systèmes backend d'authentifier que les demandes proviennent d'API Gateway. | |
| 3.1.2(e) | e) Les services réseau peuvent aller d'une simple bande passante non gérée à des services sophistiqués tels qu'un VPN, VoIP (voix sur IP), VSAT, etc. Les fonctionnalités de sécurité des services réseau doivent comprendre les éléments suivants : - Une technologie appliquée à la sécurité des services réseau telle que l'authentification, le chiffrement et les contrôles de connexion au réseau - Des paramètres techniques obligatoires pour garantir une connexion sécurisée aux services réseau conformément aux règles de sécurité et de connexion au réseau - Des procédures liées à l'utilisation des services réseau afin de restreindre l'accès aux services ou applications réseau, si nécessaire | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes. | |
| 3.1.3(e) | e) Utilisez le chiffrement pour protéger les canaux de communication entre l'appareil permettant l'accès à distance et l'établissement afin de limiter les risques d'usurpation réseau. | Assurez-vous que l'intégrité du réseau est protégée en vous assurant que les certificats X509 sont émis par AWS ACM. Ces certificats doivent être valides et non expirés. Cette règle nécessite une valeur pour daysToExpiration (valeur des meilleures pratiques de sécuritéAWS fondamentales : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| 3.1.3(e) | e) Utilisez le chiffrement pour protéger les canaux de communication entre l'appareil permettant l'accès à distance et l'établissement afin de limiter les risques d'usurpation réseau. | Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3.1.3(e) | e) Utilisez le chiffrement pour protéger les canaux de communication entre l'appareil permettant l'accès à distance et l'établissement afin de limiter les risques d'usurpation réseau. | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes. | |
| 3.1.3(e) | e) Utilisez le chiffrement pour protéger les canaux de communication entre l'appareil permettant l'accès à distance et l'établissement afin de limiter les risques d'usurpation réseau. | Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3.1.3(e) | e) Utilisez le chiffrement pour protéger les canaux de communication entre l'appareil permettant l'accès à distance et l'établissement afin de limiter les risques d'usurpation réseau. | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3.1.3(e) | e) Utilisez le chiffrement pour protéger les canaux de communication entre l'appareil permettant l'accès à distance et l'établissement afin de limiter les risques d'usurpation réseau. | Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés pour ne pas prendre en compte les en-têtes http. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3.1.3(e) | e) Utilisez le chiffrement pour protéger les canaux de communication entre l'appareil permettant l'accès à distance et l'établissement afin de limiter les risques d'usurpation réseau. | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. Node-to-nodele chiffrement permet le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3.1.3(e) | e) Utilisez le chiffrement pour protéger les canaux de communication entre l'appareil permettant l'accès à distance et l'établissement afin de limiter les risques d'usurpation réseau. | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. Node-to-nodele chiffrement permet le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3.1.3(e) | e) Utilisez le chiffrement pour protéger les canaux de communication entre l'appareil permettant l'accès à distance et l'établissement afin de limiter les risques d'usurpation réseau. | Assurez-vous que vos Elastic Load Balancers (ELBs) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3.1.3(e) | e) Utilisez le chiffrement pour protéger les canaux de communication entre l'appareil permettant l'accès à distance et l'établissement afin de limiter les risques d'usurpation réseau. | Assurez-vous que les étapes de l'API REST Amazon API Gateway sont configurées avec des certificats SSL pour permettre aux systèmes backend d'authentifier que les demandes proviennent d'API Gateway. | |
| 3.1.3(e) | e) Utilisez le chiffrement pour protéger les canaux de communication entre l'appareil permettant l'accès à distance et l'établissement afin de limiter les risques d'usurpation réseau. | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes. | |
| 3.1.3(g) | g) Générez des journaux regroupant les communications avec accès à distance. Ces journaux doivent inclure la date, l'heure, l'utilisateur, l'emplacement de l'utilisateur, la durée et le but de tout accès à distance, y compris toutes les activités réalisées via un accès à distance | La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs. | |
| 3.1.3(g) | g) Générez des journaux regroupant les communications avec accès à distance. Ces journaux doivent inclure la date, l'heure, l'utilisateur, l'emplacement de l'utilisateur, la durée et le but de tout accès à distance, y compris toutes les activités réalisées via un accès à distance | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS. | |
| 3.1.3(g) | g) Générez des journaux regroupant les communications avec accès à distance. Ces journaux doivent inclure la date, l'heure, l'utilisateur, l'emplacement de l'utilisateur, la durée et le but de tout accès à distance, y compris toutes les activités réalisées via un accès à distance | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
| 3.1.3(g) | g) Générez des journaux regroupant les communications avec accès à distance. Ces journaux doivent inclure la date, l'heure, l'utilisateur, l'emplacement de l'utilisateur, la durée et le but de tout accès à distance, y compris toutes les activités réalisées via un accès à distance | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les Compte AWS informations qui ont accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
| 3.1.3(g) | g) Générez des journaux regroupant les communications avec accès à distance. Ces journaux doivent inclure la date, l'heure, l'utilisateur, l'emplacement de l'utilisateur, la durée et le but de tout accès à distance, y compris toutes les activités réalisées via un accès à distance | L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. | |
| 3.1.3(g) | g) Générez des journaux regroupant les communications avec accès à distance. Ces journaux doivent inclure la date, l'heure, l'utilisateur, l'emplacement de l'utilisateur, la durée et le but de tout accès à distance, y compris toutes les activités réalisées via un accès à distance | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
| 3.1.3(g) | g) Générez des journaux regroupant les communications avec accès à distance. Ces journaux doivent inclure la date, l'heure, l'utilisateur, l'emplacement de l'utilisateur, la durée et le but de tout accès à distance, y compris toutes les activités réalisées via un accès à distance | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
| 3.1.3(g) | g) Générez des journaux regroupant les communications avec accès à distance. Ces journaux doivent inclure la date, l'heure, l'utilisateur, l'emplacement de l'utilisateur, la durée et le but de tout accès à distance, y compris toutes les activités réalisées via un accès à distance | Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole. | |
| 3.1.3(g) | g) Générez des journaux regroupant les communications avec accès à distance. Ces journaux doivent inclure la date, l'heure, l'utilisateur, l'emplacement de l'utilisateur, la durée et le but de tout accès à distance, y compris toutes les activités réalisées via un accès à distance | Assurez-vous que la durée minimale de conservation des données des journaux d'événements pour vos groupes de journaux est suffisante pour faciliter le dépannage et les enquêtes judiciaires. Le manque de données disponibles dans les journaux d'événements passés complique la reconstitution et l'identification des événements potentiellement malveillants. | |
| 3.1.3(g) | g) Générez des journaux regroupant les communications avec accès à distance. Ces journaux doivent inclure la date, l'heure, l'utilisateur, l'emplacement de l'utilisateur, la durée et le but de tout accès à distance, y compris toutes les activités réalisées via un accès à distance | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
| 3.1.3(g) | g) Générez des journaux regroupant les communications avec accès à distance. Ces journaux doivent inclure la date, l'heure, l'utilisateur, l'emplacement de l'utilisateur, la durée et le but de tout accès à distance, y compris toutes les activités réalisées via un accès à distance | Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur le Web ACLs régional et mondial. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait. | |
| 3.1.3(g) | g) Générez des journaux regroupant les communications avec accès à distance. Ces journaux doivent inclure la date, l'heure, l'utilisateur, l'emplacement de l'utilisateur, la durée et le but de tout accès à distance, y compris toutes les activités réalisées via un accès à distance | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.1.3(g) | g) Générez des journaux regroupant les communications avec accès à distance. Ces journaux doivent inclure la date, l'heure, l'utilisateur, l'emplacement de l'utilisateur, la durée et le but de tout accès à distance, y compris toutes les activités réalisées via un accès à distance | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| 3.1.3(g) | g) Générez des journaux regroupant les communications avec accès à distance. Ces journaux doivent inclure la date, l'heure, l'utilisateur, l'emplacement de l'utilisateur, la durée et le but de tout accès à distance, y compris toutes les activités réalisées via un accès à distance | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| 3.1.3(i) | i) Appliquer un processus d'authentification à deux facteurs pour l'accès à distance (par exemple, carte à jeton basée sur un code PIN avec un générateur de mot de passe aléatoire à usage unique, ou PKI basée sur un jeton) | Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs. | |
| 3.1.3(i) | i) Appliquer un processus d'authentification à deux facteurs pour l'accès à distance (par exemple, carte à jeton basée sur un code PIN avec un générateur de mot de passe aléatoire à usage unique, ou PKI basée sur un jeton) | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles. | |
| 3.1.3(i) | i) Appliquer un processus d'authentification à deux facteurs pour l'accès à distance (par exemple, carte à jeton basée sur un code PIN avec un générateur de mot de passe aléatoire à usage unique, ou PKI basée sur un jeton) | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. La MFA ajoute une couche supplémentaire de protection pour les informations d'identification de connexion En exigeant le MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
| 3.1.3(i) | i) Appliquer un processus d'authentification à deux facteurs pour l'accès à distance (par exemple, carte à jeton basée sur un code PIN avec un générateur de mot de passe aléatoire à usage unique, ou PKI basée sur un jeton) | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. La MFA ajoute une couche supplémentaire de protection pour les informations d'identification de connexion En exigeant le MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
| 3.1.4(c)(e) | c) Le processus de gestion des correctifs doit inclure des aspects tels que : - Déterminer les méthodes d'obtention et de validation des correctifs afin de garantir que le correctif provient d'une source autorisée - Identifier les vulnérabilités applicables aux applications et aux systèmes utilisés par l'organisation - Évaluation de l'impact commercial de l'implémentation des correctifs (ou de la non-mise en œuvre d'un correctif en particulier) - Garantie des tests des correctifs - Description des méthodes de déploiement des correctifs, par exemple automatiquement - Rapport sur l'état du déploiement des correctifs au sein de l'organisation et - Y compris les méthodes pour faire face à l'échec du déploiement d'un correctif (par exemple, le redéploiement du correctif). e) BFIs devrait déployer des outils de gestion automatique des correctifs et des outils de mise à jour logicielle pour tous les systèmes pour lesquels ces outils sont disponibles et sûrs | Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec AWS Systems Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement. | |
| 3.1.4(c)(e) | c) Le processus de gestion des correctifs doit inclure des aspects tels que : - Déterminer les méthodes d'obtention et de validation des correctifs afin de garantir que le correctif provient d'une source autorisée - Identifier les vulnérabilités applicables aux applications et aux systèmes utilisés par l'organisation - Évaluation de l'impact commercial de l'implémentation des correctifs (ou de la non-mise en œuvre d'un correctif en particulier) - Garantie des tests des correctifs - Description des méthodes de déploiement des correctifs, par exemple automatiquement - Rapport sur l'état du déploiement des correctifs au sein de l'organisation et - Y compris les méthodes pour faire face à l'échec du déploiement d'un correctif (par exemple, le redéploiement du correctif). e) BFIs devrait déployer des outils de gestion automatique des correctifs et des outils de mise à jour logicielle pour tous les systèmes pour lesquels ces outils sont disponibles et sûrs | Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des niveaux de référence pour les niveaux de correctifs du système d'exploitation, les installations de logiciels, les configurations d'applications et d'autres informations relatives à votre environnement. | |
| 3.1.4(c)(e) | c) Le processus de gestion des correctifs doit inclure des aspects tels que : - Déterminer les méthodes d'obtention et de validation des correctifs afin de garantir que le correctif provient d'une source autorisée - Identifier les vulnérabilités applicables aux applications et aux systèmes utilisés par l'organisation - Évaluation de l'impact commercial de l'implémentation des correctifs (ou de la non-mise en œuvre d'un correctif en particulier) - Garantie des tests des correctifs - Description des méthodes de déploiement des correctifs, par exemple automatiquement - Rapport sur l'état du déploiement des correctifs au sein de l'organisation et - Y compris les méthodes pour faire face à l'échec du déploiement d'un correctif (par exemple, le redéploiement du correctif). e) BFIs devrait déployer des outils de gestion automatique des correctifs et des outils de mise à jour logicielle pour tous les systèmes pour lesquels ces outils sont disponibles et sûrs | Activez cette règle pour faciliter l'identification et la documentation des vulnérabilités d'Amazon Elastic Compute Cloud (Amazon EC2). La règle vérifie si les correctifs d' EC2 instance Amazon sont conformes dans AWS Systems Manager conformément aux politiques et procédures de votre entreprise. | |
| 3.1.4(c)(e) | c) Le processus de gestion des correctifs doit inclure des aspects tels que : - Déterminer les méthodes d'obtention et de validation des correctifs afin de garantir que le correctif provient d'une source autorisée - Identifier les vulnérabilités applicables aux applications et aux systèmes utilisés par l'organisation - Évaluation de l'impact commercial de l'implémentation des correctifs (ou de la non-mise en œuvre d'un correctif en particulier) - Garantie des tests des correctifs - Description des méthodes de déploiement des correctifs, par exemple automatiquement - Rapport sur l'état du déploiement des correctifs au sein de l'organisation et - Y compris les méthodes pour faire face à l'échec du déploiement d'un correctif (par exemple, le redéploiement du correctif). e) BFIs devrait déployer des outils de gestion automatique des correctifs et des outils de mise à jour logicielle pour tous les systèmes pour lesquels ces outils sont disponibles et sûrs | Cette règle garantit que les clusters Amazon Redshift disposent des paramètres préférés de votre organisation. Plus précisément, qu'ils disposent de fenêtres de maintenance préférées et de périodes de conservation des instantanés automatisées pour la base de données. Cette règle vous oblige à définir le allowVersionUpgrade. Par défaut, la valeur est true. Il vous permet également de définir éventuellement le preferredMaintenanceWindow (la valeur par défaut est samedi : 16h00 - samedi : 16h30) et la automatedSnapshotRetention période (la valeur par défaut est 1). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.1.4(c)(e) | c) Le processus de gestion des correctifs doit inclure des aspects tels que : - Déterminer les méthodes d'obtention et de validation des correctifs afin de garantir que le correctif provient d'une source autorisée - Identifier les vulnérabilités applicables aux applications et aux systèmes utilisés par l'organisation - Évaluation de l'impact commercial de l'implémentation des correctifs (ou de la non-mise en œuvre d'un correctif en particulier) - Garantie des tests des correctifs - Description des méthodes de déploiement des correctifs, par exemple automatiquement - Rapport sur l'état du déploiement des correctifs au sein de l'organisation et - Y compris les méthodes pour faire face à l'échec du déploiement d'un correctif (par exemple, le redéploiement du correctif). e) BFIs devrait déployer des outils de gestion automatique des correctifs et des outils de mise à jour logicielle pour tous les systèmes pour lesquels ces outils sont disponibles et sûrs | L'activation des mises à jour de plateforme gérées pour un environnement Amazon Elastic Beanstalk garantit l'installation des derniers correctifs, mises à jour et fonctionnalités de la plateforme disponibles pour l'environnement. La sécurisation des systèmes passe par la mise à jour de l'installation des correctifs. | |
| 3.1.4(c)(e) | c) Le processus de gestion des correctifs doit inclure des aspects tels que : - Déterminer les méthodes d'obtention et de validation des correctifs afin de garantir que le correctif provient d'une source autorisée - Identifier les vulnérabilités applicables aux applications et aux systèmes utilisés par l'organisation - Évaluation de l'impact commercial de l'implémentation des correctifs (ou de la non-mise en œuvre d'un correctif en particulier) - Garantie des tests des correctifs - Description des méthodes de déploiement des correctifs, par exemple automatiquement - Rapport sur l'état du déploiement des correctifs au sein de l'organisation et - Y compris les méthodes pour faire face à l'échec du déploiement d'un correctif (par exemple, le redéploiement du correctif). e) BFIs devrait déployer des outils de gestion automatique des correctifs et des outils de mise à jour logicielle pour tous les systèmes pour lesquels ces outils sont disponibles et sûrs | Activez les mises à niveau automatiques des versions mineures sur vos instances Amazon Relational Database Service (RDS) pour vous assurer que les dernières mises à jour mineures du système de gestion de base de données relationnelle (RDBMS) sont installées, lesquelles peuvent inclure des correctifs de sécurité et des correctifs de bogues. | |
| 3.1.4(d)(e) | d) Une gestion appropriée des clés implique des processus sécurisés pour générer, stocker, archiver, récupérer, distribuer, retirer et supprimer les clés cryptographiques e) Toutes les clés cryptographiques doivent être protégées contre toute modification ou perte. En outre, les clés secrètes et privées doivent être protégées contre toute utilisation ou divulgation non autorisées. L'équipement utilisé pour générer, stocker et archiver les clés doit être protégé physiquement | Pour protéger les données inactives, assurez-vous que les clés principales du client (CMKs) nécessaires ne sont pas programmées pour être supprimées dans le service de gestion des AWS clés (AWS KMS). La suppression de clés étant parfois nécessaire, cette règle peut aider à vérifier toutes les clés dont la suppression est prévue, au cas où la suppression d'une clé aurait été planifiée par inadvertance. | |
| 3.1.4(d)(e) | d) Une gestion appropriée des clés implique des processus sécurisés pour générer, stocker, archiver, récupérer, distribuer, retirer et supprimer les clés cryptographiques e) Toutes les clés cryptographiques doivent être protégées contre toute modification ou perte. En outre, les clés secrètes et privées doivent être protégées contre toute utilisation ou divulgation non autorisées. L'équipement utilisé pour générer, stocker et archiver les clés doit être protégé physiquement | Activez la rotation des clés pour vous assurer que les clés sont pivotées une fois qu'elles ont atteint la fin de leur période de chiffrement. | |
| 3.1.4(d)(e) | d) Une gestion appropriée des clés implique des processus sécurisés pour générer, stocker, archiver, récupérer, distribuer, retirer et supprimer les clés cryptographiques e) Toutes les clés cryptographiques doivent être protégées contre toute modification ou perte. En outre, les clés secrètes et privées doivent être protégées contre toute utilisation ou divulgation non autorisées. L'équipement utilisé pour générer, stocker et archiver les clés doit être protégé physiquement | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : kms: Déchiffrer, kms:ReEncryptFrom). Les valeurs réelles doivent refléter les politiques de votre organisation | |
| 3.1.4(d)(e) | d) Une gestion appropriée des clés implique des processus sécurisés pour générer, stocker, archiver, récupérer, distribuer, retirer et supprimer les clés cryptographiques e) Toutes les clés cryptographiques doivent être protégées contre toute modification ou perte. En outre, les clés secrètes et privées doivent être protégées contre toute utilisation ou divulgation non autorisées. L'équipement utilisé pour générer, stocker et archiver les clés doit être protégé physiquement | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : kms: Déchiffrer, kms:ReEncryptFrom). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.1.5(f) | f) Un système de gestion des clés doit être basé sur un ensemble convenu de normes, de procédures et de méthodes sécurisées pour : - générer des clés pour différents systèmes cryptographiques et différentes applications - délivrer et obtenir des certificats de clé publique - distribuer des clés aux entités visées, y compris comment les clés doivent être activées lors de leur réception - stocker les clés, y compris la manière dont les clés doivent être modifiées et comment cela sera fait - traiter les clés compromises - révoquer les clés y compris les clés doit être retiré ou désactivé, par exemple lorsque des clés ont été compromises ou lorsqu'un utilisateur quitte une organisation (auquel cas les clés doivent également être archivées), pour récupérer des clés perdues ou corrompues, pour sauvegarder ou archiver des clés, pour détruire des clés et pour enregistrer et auditer les activités liées à la gestion des clés. | Pour protéger les données inactives, assurez-vous que les clés principales du client (CMKs) nécessaires ne sont pas programmées pour être supprimées dans le service de gestion des AWS clés (AWS KMS). La suppression de clés étant parfois nécessaire, cette règle peut aider à vérifier toutes les clés dont la suppression est prévue, au cas où la suppression d'une clé aurait été planifiée par inadvertance. | |
| 3.1.5(f) | f) Un système de gestion des clés doit être basé sur un ensemble convenu de normes, de procédures et de méthodes sécurisées pour : - générer des clés pour différents systèmes cryptographiques et différentes applications - délivrer et obtenir des certificats de clé publique - distribuer des clés aux entités visées, y compris comment les clés doivent être activées lors de leur réception - stocker les clés, y compris la manière dont les clés doivent être modifiées et comment cela sera fait - traiter les clés compromises - révoquer les clés y compris les clés doit être retiré ou désactivé, par exemple lorsque des clés ont été compromises ou lorsqu'un utilisateur quitte une organisation (auquel cas les clés doivent également être archivées), pour récupérer des clés perdues ou corrompues, pour sauvegarder ou archiver des clés, pour détruire des clés et pour enregistrer et auditer les activités liées à la gestion des clés. | Activez la rotation des clés pour vous assurer que les clés sont pivotées une fois qu'elles ont atteint la fin de leur période de chiffrement. | |
| 3.1.5(f) | f) Un système de gestion des clés doit être basé sur un ensemble convenu de normes, de procédures et de méthodes sécurisées pour : - générer des clés pour différents systèmes cryptographiques et différentes applications - délivrer et obtenir des certificats de clé publique - distribuer des clés aux entités visées, y compris comment les clés doivent être activées lors de leur réception - stocker les clés, y compris la manière dont les clés doivent être modifiées et comment cela sera fait - traiter les clés compromises - révoquer les clés y compris les clés doit être retiré ou désactivé, par exemple lorsque des clés ont été compromises ou lorsqu'un utilisateur quitte une organisation (auquel cas les clés doivent également être archivées), pour récupérer des clés perdues ou corrompues, pour sauvegarder ou archiver des clés, pour détruire des clés et pour enregistrer et auditer les activités liées à la gestion des clés. | Assurez-vous que l'intégrité du réseau est protégée en vous assurant que les certificats X509 sont émis par AWS ACM. Ces certificats doivent être valides et non expirés. Cette règle nécessite une valeur pour daysToExpiration (valeur des meilleures pratiques de sécuritéAWS fondamentales : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| 3.1.5(f) | f) Un système de gestion des clés doit être basé sur un ensemble convenu de normes, de procédures et de méthodes sécurisées pour : - générer des clés pour différents systèmes cryptographiques et différentes applications - délivrer et obtenir des certificats de clé publique - distribuer des clés aux entités visées, y compris comment les clés doivent être activées lors de leur réception - stocker les clés, y compris la manière dont les clés doivent être modifiées et comment cela sera fait - traiter les clés compromises - révoquer les clés y compris les clés doit être retiré ou désactivé, par exemple lorsque des clés ont été compromises ou lorsqu'un utilisateur quitte une organisation (auquel cas les clés doivent également être archivées), pour récupérer des clés perdues ou corrompues, pour sauvegarder ou archiver des clés, pour détruire des clés et pour enregistrer et auditer les activités liées à la gestion des clés. | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes. | |
| 3.1.5(f) | f) Un système de gestion des clés doit être basé sur un ensemble convenu de normes, de procédures et de méthodes sécurisées pour : - générer des clés pour différents systèmes cryptographiques et différentes applications - délivrer et obtenir des certificats de clé publique - distribuer des clés aux entités visées, y compris comment les clés doivent être activées lors de leur réception - stocker les clés, y compris la manière dont les clés doivent être modifiées et comment cela sera fait - traiter les clés compromises - révoquer les clés y compris les clés doit être retiré ou désactivé, par exemple lorsque des clés ont été compromises ou lorsqu'un utilisateur quitte une organisation (auquel cas les clés doivent également être archivées), pour récupérer des clés perdues ou corrompues, pour sauvegarder ou archiver des clés, pour détruire des clés et pour enregistrer et auditer les activités liées à la gestion des clés. | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
| 3.1.5(f) | f) Un système de gestion des clés doit être basé sur un ensemble convenu de normes, de procédures et de méthodes sécurisées pour : - générer des clés pour différents systèmes cryptographiques et différentes applications - délivrer et obtenir des certificats de clé publique - distribuer des clés aux entités visées, y compris comment les clés doivent être activées lors de leur réception - stocker les clés, y compris la manière dont les clés doivent être modifiées et comment cela sera fait - traiter les clés compromises - révoquer les clés y compris les clés doit être retiré ou désactivé, par exemple lorsque des clés ont été compromises ou lorsqu'un utilisateur quitte une organisation (auquel cas les clés doivent également être archivées), pour récupérer des clés perdues ou corrompues, pour sauvegarder ou archiver des clés, pour détruire des clés et pour enregistrer et auditer les activités liées à la gestion des clés. | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
| 3.1.5(f) | f) Un système de gestion des clés doit être basé sur un ensemble convenu de normes, de procédures et de méthodes sécurisées pour : - générer des clés pour différents systèmes cryptographiques et différentes applications - délivrer et obtenir des certificats de clé publique - distribuer des clés aux entités visées, y compris comment les clés doivent être activées lors de leur réception - stocker les clés, y compris la manière dont les clés doivent être modifiées et comment cela sera fait - traiter les clés compromises - révoquer les clés y compris les clés doit être retiré ou désactivé, par exemple lorsque des clés ont été compromises ou lorsqu'un utilisateur quitte une organisation (auquel cas les clés doivent également être archivées), pour récupérer des clés perdues ou corrompues, pour sauvegarder ou archiver des clés, pour détruire des clés et pour enregistrer et auditer les activités liées à la gestion des clés. | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes. | |
| 3.1.6(a) | a) Le service BFI doit déployer une combinaison d'outils automatisés et de techniques manuelles pour effectuer périodiquement un test de vulnérabilité complet. Pour les systèmes Web externes, le champ d'application du test de vulnérabilité doit inclure les vulnérabilités Web courantes telles que l'injection SQL et les scripts inter-sites. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| 3.1.6(a) | a) Le service BFI doit déployer une combinaison d'outils automatisés et de techniques manuelles pour effectuer périodiquement un test de vulnérabilité complet. Pour les systèmes Web externes, le champ d'application du test de vulnérabilité doit inclure les vulnérabilités Web courantes telles que l'injection SQL et les scripts inter-sites. | Assurez-vous que AWS le WAF est activé sur les Elastic Load Balancers (ELB) pour protéger les applications Web. Un WAF permet de protéger vos applications Web ou APIs contre les exploits Web courants. Ces attaques Web peuvent affecter la disponibilité, compromettre la sécurité ou consommer des ressources excessives dans votre environnement. | |
| 3.1.6(a) | a) Le service BFI doit déployer une combinaison d'outils automatisés et de techniques manuelles pour effectuer périodiquement un test de vulnérabilité complet. Pour les systèmes Web externes, le champ d'application du test de vulnérabilité doit inclure les vulnérabilités Web courantes telles que l'injection SQL et les scripts inter-sites. | AWS Le WAF vous permet de configurer un ensemble de règles (appelé liste de contrôle d'accès Web (ACL Web)) qui autorisent, bloquent ou comptent les requêtes Web en fonction de règles et de conditions de sécurité Web personnalisables que vous définissez. Assurez-vous que votre étape Amazon API Gateway est associée à une liste ACL Web WAF pour la protéger contre les attaques malveillantes | |
| 3.1.6(c) | c) Le service BFI doit définir un processus pour remédier aux problèmes identifiés au cours des tests de vulnérabilité et d'intrusion, et revérifier ultérieurement la correction appliquée pour s'assurer que les lacunes sont entièrement corrigées. | vuln-mitigated-accepted(Vérification du processus) | Assurez-vous que les vulnérabilités nouvellement identifiées sont corrigées ou documentées en tant que risques acceptés. Les vulnérabilités doivent être corrigées ou considérées comme des risques conformément aux exigences de conformité de votre organisation. |
| 3.1.6(f) | f) La fonction de sécurité doit fournir des données actualisées sur le nombre de vulnérabilités critiques non atténuées pour chaque département/service, et un plan d'atténuation aux cadres supérieures à intervalles réguliers | Amazon vous GuardDuty aide à comprendre l'impact d'un incident en classant les résultats par gravité : faible, moyenne et élevée. Vous pouvez utiliser ces classifications pour déterminer les stratégies et les priorités de correction. Cette règle vous permet de définir éventuellement daysLowSev (Config Default : 30), daysMediumSev (Config Default : 7) et daysHighSev (Config Default : 1) pour les résultats non archivés, comme l'exigent les politiques de votre organisation. | |
| 3.1.8 | Formation et sensibilisation des utilisateurs | security-awareness-program-exists(Vérification du processus) | Élaborez et maintenez un programme de sensibilisation à la sécurité pour votre organisation. Les programmes de sensibilisation à la sécurité visent à informer les employés sur la façon de protéger leur organisation contre divers incidents ou atteintes à la sécurité. |
| 3.1.10(b) | b) Les informations sensibles telles que la documentation du système, le code source de l'application et les données des transactions de production devraient faire l'objet de contrôles plus étendus pour éviter toute modification (par exemple, vérificateurs d'intégrité, hachages cryptographiques). En outre, les politiques établies doivent minimiser la diffusion d'informations sensibles, y compris les impressions contenant ces informations. | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le cryptage est activé pour vos AWS CloudTrail pistes. | |
| 3.1.10(b) | b) Les informations sensibles telles que la documentation du système, le code source de l'application et les données des transactions de production devraient faire l'objet de contrôles plus étendus pour éviter toute modification (par exemple, vérificateurs d'intégrité, hachages cryptographiques). En outre, les politiques établies doivent minimiser la diffusion d'informations sensibles, y compris les impressions contenant ces informations. | Pour protéger les données sensibles au repos, assurez-vous que le chiffrement est activé pour vos Amazon CloudWatch Log Groups. | |
| 3.1.10(b) | b) Les informations sensibles telles que la documentation du système, le code source de l'application et les données des transactions de production devraient faire l'objet de contrôles plus étendus pour éviter toute modification (par exemple, vérificateurs d'intégrité, hachages cryptographiques). En outre, les politiques établies doivent minimiser la diffusion d'informations sensibles, y compris les impressions contenant ces informations. | Utilisez la validation des fichiers AWS CloudTrail journaux pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonctionnalité est créée grâce à des algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection. | |
| 3.1.10(b) | b) Les informations sensibles telles que la documentation du système, le code source de l'application et les données des transactions de production devraient faire l'objet de contrôles plus étendus pour éviter toute modification (par exemple, vérificateurs d'intégrité, hachages cryptographiques). En outre, les politiques établies doivent minimiser la diffusion d'informations sensibles, y compris les impressions contenant ces informations. | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour votre Amazon Elastic File System (EFS). | |
| 3.1.10(b) | b) Les informations sensibles telles que la documentation du système, le code source de l'application et les données des transactions de production devraient faire l'objet de contrôles plus étendus pour éviter toute modification (par exemple, vérificateurs d'intégrité, hachages cryptographiques). En outre, les politiques établies doivent minimiser la diffusion d'informations sensibles, y compris les impressions contenant ces informations. | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch OpenSearch Service (Service). | |
| 3.1.10(b) | b) Les informations sensibles telles que la documentation du système, le code source de l'application et les données des transactions de production devraient faire l'objet de contrôles plus étendus pour éviter toute modification (par exemple, vérificateurs d'intégrité, hachages cryptographiques). En outre, les politiques établies doivent minimiser la diffusion d'informations sensibles, y compris les impressions contenant ces informations. | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch Service. | |
| 3.1.10(b) | b) Les informations sensibles telles que la documentation du système, le code source de l'application et les données des transactions de production devraient faire l'objet de contrôles plus étendus pour éviter toute modification (par exemple, vérificateurs d'intégrité, hachages cryptographiques). En outre, les politiques établies doivent minimiser la diffusion d'informations sensibles, y compris les impressions contenant ces informations. | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). | |
| 3.1.10(b) | b) Les informations sensibles telles que la documentation du système, le code source de l'application et les données des transactions de production devraient faire l'objet de contrôles plus étendus pour éviter toute modification (par exemple, vérificateurs d'intégrité, hachages cryptographiques). En outre, les politiques établies doivent minimiser la diffusion d'informations sensibles, y compris les impressions contenant ces informations. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos dans les instances Amazon RDS, activez le chiffrement au repos pour protéger ces données. | |
| 3.1.10(b) | b) Les informations sensibles telles que la documentation du système, le code source de l'application et les données des transactions de production devraient faire l'objet de contrôles plus étendus pour éviter toute modification (par exemple, vérificateurs d'intégrité, hachages cryptographiques). En outre, les politiques établies doivent minimiser la diffusion d'informations sensibles, y compris les impressions contenant ces informations. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.1.10(b) | b) Les informations sensibles telles que la documentation du système, le code source de l'application et les données des transactions de production devraient faire l'objet de contrôles plus étendus pour éviter toute modification (par exemple, vérificateurs d'intégrité, hachages cryptographiques). En outre, les politiques établies doivent minimiser la diffusion d'informations sensibles, y compris les impressions contenant ces informations. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données. | |
| 3.1.10(b) | b) Les informations sensibles telles que la documentation du système, le code source de l'application et les données des transactions de production devraient faire l'objet de contrôles plus étendus pour éviter toute modification (par exemple, vérificateurs d'intégrité, hachages cryptographiques). En outre, les politiques établies doivent minimiser la diffusion d'informations sensibles, y compris les impressions contenant ces informations. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker terminal. Étant donné que les données sensibles peuvent exister au repos sur le SageMaker terminal, activez le chiffrement au repos pour protéger ces données. | |
| 3.1.10(b) | b) Les informations sensibles telles que la documentation du système, le code source de l'application et les données des transactions de production devraient faire l'objet de contrôles plus étendus pour éviter toute modification (par exemple, vérificateurs d'intégrité, hachages cryptographiques). En outre, les politiques établies doivent minimiser la diffusion d'informations sensibles, y compris les impressions contenant ces informations. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker ordinateur portable. Étant donné que des données sensibles peuvent exister au repos dans le SageMaker bloc-notes, activez le chiffrement au repos pour protéger ces données. | |
| 3.1.10(b) | b) Les informations sensibles telles que la documentation du système, le code source de l'application et les données des transactions de production devraient faire l'objet de contrôles plus étendus pour éviter toute modification (par exemple, vérificateurs d'intégrité, hachages cryptographiques). En outre, les politiques établies doivent minimiser la diffusion d'informations sensibles, y compris les impressions contenant ces informations. | Pour protéger les données au repos, assurez-vous que vos rubriques Amazon Simple Notification Service (Amazon SNS) nécessitent un chiffrement à l' AWS aide du Key Management Service AWS (KMS). Comme il peut y avoir des données sensibles au repos dans les messages publiés, activez le chiffrement au repos pour protéger ces données. | |
| 3.1.10(b) | b) Les informations sensibles telles que la documentation du système, le code source de l'application et les données des transactions de production devraient faire l'objet de contrôles plus étendus pour éviter toute modification (par exemple, vérificateurs d'intégrité, hachages cryptographiques). En outre, les politiques établies doivent minimiser la diffusion d'informations sensibles, y compris les impressions contenant ces informations. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données. | |
| 3.1.10(b) | b) Les informations sensibles telles que la documentation du système, le code source de l'application et les données des transactions de production devraient faire l'objet de contrôles plus étendus pour éviter toute modification (par exemple, vérificateurs d'intégrité, hachages cryptographiques). En outre, les politiques établies doivent minimiser la diffusion d'informations sensibles, y compris les impressions contenant ces informations. | Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données. | |
| 3.1.10(b) | b) Les informations sensibles telles que la documentation du système, le code source de l'application et les données des transactions de production devraient faire l'objet de contrôles plus étendus pour éviter toute modification (par exemple, vérificateurs d'intégrité, hachages cryptographiques). En outre, les politiques établies doivent minimiser la diffusion d'informations sensibles, y compris les impressions contenant ces informations. | Assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans un compartiment Amazon S3, activez le chiffrement au repos pour protéger ces données. | |
| 3.1.10(b) | b) Les informations sensibles telles que la documentation du système, le code source de l'application et les données des transactions de production devraient faire l'objet de contrôles plus étendus pour éviter toute modification (par exemple, vérificateurs d'intégrité, hachages cryptographiques). En outre, les politiques établies doivent minimiser la diffusion d'informations sensibles, y compris les impressions contenant ces informations. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour le cache de votre environnement API Gateway. Étant donné que des données sensibles peuvent être capturées pour la méthode API, activez le chiffrement au repos pour protéger ces données. | |
| 3.1.10(b) | b) Les informations sensibles telles que la documentation du système, le code source de l'application et les données des transactions de production devraient faire l'objet de contrôles plus étendus pour éviter toute modification (par exemple, vérificateurs d'intégrité, hachages cryptographiques). En outre, les politiques établies doivent minimiser la diffusion d'informations sensibles, y compris les impressions contenant ces informations. | Assurez-vous que le chiffrement est activé pour vos tables Amazon DynamoDB. Comme il peut y avoir des données sensibles au repos dans ces tables, activez le chiffrement au repos pour protéger ces données. Par défaut, les tables DynamoDB sont chiffrées à l'aide AWS d'une clé principale propre au client (CMK). | |
| 3.1.10(b) | b) Les informations sensibles telles que la documentation du système, le code source de l'application et les données des transactions de production devraient faire l'objet de contrôles plus étendus pour éviter toute modification (par exemple, vérificateurs d'intégrité, hachages cryptographiques). En outre, les politiques établies doivent minimiser la diffusion d'informations sensibles, y compris les impressions contenant ces informations. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre cluster Amazon Redshift. Comme il peut y avoir des données sensibles au repos dans les clusters Redshift, activez le chiffrement au repos pour protéger ces données. | |
| 3.1.10(b) | b) Les informations sensibles telles que la documentation du système, le code source de l'application et les données des transactions de production devraient faire l'objet de contrôles plus étendus pour éviter toute modification (par exemple, vérificateurs d'intégrité, hachages cryptographiques). En outre, les politiques établies doivent minimiser la diffusion d'informations sensibles, y compris les impressions contenant ces informations. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le AWS Key Management Service (AWS KMS) est activé pour les AWS secrets de Secrets Manager. Comme il peut y avoir des données sensibles au repos dans les secrets de Secrets Manager, activez le chiffrement au repos pour protéger ces données. | |
| 3.2.1(h) | h) Afin de minimiser les risques associés aux modifications, vous BFIs devez effectuer des sauvegardes des systèmes ou applications concernés avant les modifications. BFIs doit établir un plan de restauration pour revenir à une ancienne version du système ou de l'application si un problème survient pendant ou après le déploiement. | La fonctionnalité de sauvegarde d'Amazon RDS crée des sauvegardes de vos bases de données et de vos journaux de transactions. Amazon RDS crée automatiquement un instantané du volume de stockage de votre instance de base de données, en sauvegardant l'intégralité de cette dernière. Le système vous permet de définir des périodes de conservation spécifiques pour répondre à vos exigences de résilience. | |
| 3.2.1(h) | h) Afin de minimiser les risques associés aux modifications, vous BFIs devez effectuer des sauvegardes des systèmes ou applications concernés avant les modifications. BFIs doit établir un plan de restauration pour revenir à une ancienne version du système ou de l'application si un problème survient pendant ou après le déploiement. | Activez cette règle pour vérifier que les informations ont été sauvegardées. Il gère également les sauvegardes en s'assurant que la point-in-time restauration est activée dans Amazon DynamoDB. La récupération permet de maintenir des sauvegardes continues de votre table pour les 35 derniers jours. | |
| 3.2.1(h) | h) Afin de minimiser les risques associés aux modifications, vous BFIs devez effectuer des sauvegardes des systèmes ou applications concernés avant les modifications. BFIs doit établir un plan de restauration pour revenir à une ancienne version du système ou de l'application si un problème survient pendant ou après le déploiement. | Une instance optimisée dans Amazon Elastic Block Store (Amazon EBS) fournit une capacité supplémentaire dédiée aux opérations d'E/S d'Amazon EBS. Cette optimisation offre les performances les plus efficaces pour vos volumes EBS en minimisant les conflits entre les opérations d'E/S d'Amazon EBS et le trafic restant de votre instance. | |
| 3.2.1(h) | h) Afin de minimiser les risques associés aux modifications, vous BFIs devez effectuer des sauvegardes des systèmes ou applications concernés avant les modifications. BFIs doit établir un plan de restauration pour revenir à une ancienne version du système ou de l'application si un problème survient pendant ou après le déploiement. | elasticache-redis-cluster-automatic-vérification des sauvegardes |
Lorsque les sauvegardes automatiques sont activées, Amazon ElastiCache crée une sauvegarde du cluster quotidiennement. La sauvegarde peut être conservée pendant un nombre de jours défini par votre organisation. Les sauvegardes automatiques peuvent constituer une protection contre la perte de données. En cas de défaillance, vous pouvez créer un nouveau cluster, ce qui restaurera vos données à partir de la sauvegarde la plus récente. |
| 3.2.1(h) | h) Afin de minimiser les risques associés aux modifications, vous BFIs devez effectuer des sauvegardes des systèmes ou applications concernés avant les modifications. BFIs doit établir un plan de restauration pour revenir à une ancienne version du système ou de l'application si un problème survient pendant ou après le déploiement. | La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données. | |
| 3.2.1(h) | h) Afin de minimiser les risques associés aux modifications, vous BFIs devez effectuer des sauvegardes des systèmes ou applications concernés avant les modifications. BFIs doit établir un plan de restauration pour revenir à une ancienne version du système ou de l'application si un problème survient pendant ou après le déploiement. | La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative. | |
| 3.2.1(h) | h) Afin de minimiser les risques associés aux modifications, vous BFIs devez effectuer des sauvegardes des systèmes ou applications concernés avant les modifications. BFIs doit établir un plan de restauration pour revenir à une ancienne version du système ou de l'application si un problème survient pendant ou après le déploiement. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos tables Amazon DynamoDB font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| 3.2.1(h) | h) Afin de minimiser les risques associés aux modifications, vous BFIs devez effectuer des sauvegardes des systèmes ou applications concernés avant les modifications. BFIs doit établir un plan de restauration pour revenir à une ancienne version du système ou de l'application si un problème survient pendant ou après le déploiement. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos volumes Amazon Elastic Block Store (Amazon EBS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| 3.2.1(h) | h) Afin de minimiser les risques associés aux modifications, vous BFIs devez effectuer des sauvegardes des systèmes ou applications concernés avant les modifications. BFIs doit établir un plan de restauration pour revenir à une ancienne version du système ou de l'application si un problème survient pendant ou après le déploiement. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon Elastic File System (Amazon EFS) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| 3.2.1(h) | h) Afin de minimiser les risques associés aux modifications, vous BFIs devez effectuer des sauvegardes des systèmes ou applications concernés avant les modifications. BFIs doit établir un plan de restauration pour revenir à une ancienne version du système ou de l'application si un problème survient pendant ou après le déploiement. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos instances Amazon Relational Database Service (Amazon RDS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| 3.2.1(h) | h) Afin de minimiser les risques associés aux modifications, vous BFIs devez effectuer des sauvegardes des systèmes ou applications concernés avant les modifications. BFIs doit établir un plan de restauration pour revenir à une ancienne version du système ou de l'application si un problème survient pendant ou après le déploiement. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos clusters Amazon Redshift disposent d'instantanés automatisés. Lorsque les instantanés automatiques sont activés pour un cluster, Redshift prend régulièrement des instantanés de ce cluster. Par défaut, Redshift prend un instantané toutes les huit heures ou tous les 5 Go pour chaque nœud de modification des données, ou selon la première éventualité. | |
| 3.2.1(k) | k) Les journaux d'audit et de sécurité sont des informations utiles qui facilitent les enquêtes et le dépannage. Le service BFI doit s'assurer que le système de journalisation est prêt à enregistrer les activités réalisées pendant le processus de migration. | La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs. | |
| 3.2.1(k) | k) Les journaux d'audit et de sécurité sont des informations utiles qui facilitent les enquêtes et le dépannage. Le service BFI doit s'assurer que le système de journalisation est prêt à enregistrer les activités réalisées pendant le processus de migration. | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS. | |
| 3.2.1(k) | k) Les journaux d'audit et de sécurité sont des informations utiles qui facilitent les enquêtes et le dépannage. Le service BFI doit s'assurer que le système de journalisation est prêt à enregistrer les activités réalisées pendant le processus de migration. | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
| 3.2.1(k) | k) Les journaux d'audit et de sécurité sont des informations utiles qui facilitent les enquêtes et le dépannage. Le service BFI doit s'assurer que le système de journalisation est prêt à enregistrer les activités réalisées pendant le processus de migration. | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les Compte AWS informations qui ont accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
| 3.2.1(k) | k) Les journaux d'audit et de sécurité sont des informations utiles qui facilitent les enquêtes et le dépannage. Le service BFI doit s'assurer que le système de journalisation est prêt à enregistrer les activités réalisées pendant le processus de migration. | L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. | |
| 3.2.1(k) | k) Les journaux d'audit et de sécurité sont des informations utiles qui facilitent les enquêtes et le dépannage. Le service BFI doit s'assurer que le système de journalisation est prêt à enregistrer les activités réalisées pendant le processus de migration. | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
| 3.2.1(k) | k) Les journaux d'audit et de sécurité sont des informations utiles qui facilitent les enquêtes et le dépannage. Le service BFI doit s'assurer que le système de journalisation est prêt à enregistrer les activités réalisées pendant le processus de migration. | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
| 3.2.1(k) | k) Les journaux d'audit et de sécurité sont des informations utiles qui facilitent les enquêtes et le dépannage. Le service BFI doit s'assurer que le système de journalisation est prêt à enregistrer les activités réalisées pendant le processus de migration. | Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole. | |
| 3.2.1(k) | k) Les journaux d'audit et de sécurité sont des informations utiles qui facilitent les enquêtes et le dépannage. Le service BFI doit s'assurer que le système de journalisation est prêt à enregistrer les activités réalisées pendant le processus de migration. | Assurez-vous que la durée minimale de conservation des données des journaux d'événements pour vos groupes de journaux est suffisante pour faciliter le dépannage et les enquêtes judiciaires. Le manque de données disponibles dans les journaux d'événements passés complique la reconstitution et l'identification des événements potentiellement malveillants. | |
| 3.2.1(k) | k) Les journaux d'audit et de sécurité sont des informations utiles qui facilitent les enquêtes et le dépannage. Le service BFI doit s'assurer que le système de journalisation est prêt à enregistrer les activités réalisées pendant le processus de migration. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
| 3.2.1(k) | k) Les journaux d'audit et de sécurité sont des informations utiles qui facilitent les enquêtes et le dépannage. Le service BFI doit s'assurer que le système de journalisation est prêt à enregistrer les activités réalisées pendant le processus de migration. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur le Web ACLs régional et mondial. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait. | |
| 3.2.1(k) | k) Les journaux d'audit et de sécurité sont des informations utiles qui facilitent les enquêtes et le dépannage. Le service BFI doit s'assurer que le système de journalisation est prêt à enregistrer les activités réalisées pendant le processus de migration. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.2.1(k) | k) Les journaux d'audit et de sécurité sont des informations utiles qui facilitent les enquêtes et le dépannage. Le service BFI doit s'assurer que le système de journalisation est prêt à enregistrer les activités réalisées pendant le processus de migration. | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| 3.2.1(k) | k) Les journaux d'audit et de sécurité sont des informations utiles qui facilitent les enquêtes et le dépannage. Le service BFI doit s'assurer que le système de journalisation est prêt à enregistrer les activités réalisées pendant le processus de migration. | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| 3.2.3(a) | a) Développez et mettez en œuvre des processus de prévention, de détection, d'analyse et de réponse aux incidents de sécurité des informations. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| 3.2.3(a) | a) Développez et mettez en œuvre des processus de prévention, de détection, d'analyse et de réponse aux incidents de sécurité des informations. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| 3.3.1(a) | a) Tenez compte des facteurs importants permettant de garantir une haute disponibilité du système, une capacité appropriée, des performances fiables, un temps de réponse rapide et une capacité de mise à l'échelle dans le cadre de la conception du système. | Amazon DynamoDB Auto Scaling AWS utilise le service Application Auto Scaling pour ajuster la capacité de débit allouée afin de répondre automatiquement aux modèles de trafic réels. Cela permet à une table ou à un index secondaire global d'augmenter sa capacité de lecture/d'écriture approvisionnée afin de gérer les hausses soudaines de trafic sans limitation. | |
| 3.3.1(a) | a) Tenez compte des facteurs importants permettant de garantir une haute disponibilité du système, une capacité appropriée, des performances fiables, un temps de réponse rapide et une capacité de mise à l'échelle dans le cadre de la conception du système. | Activez cette règle pour vérifier que les informations ont été sauvegardées. Il gère également les sauvegardes en s'assurant que la point-in-time restauration est activée dans Amazon DynamoDB. La récupération permet de maintenir des sauvegardes continues de votre table pour les 35 derniers jours. | |
| 3.3.1(a) | a) Tenez compte des facteurs importants permettant de garantir une haute disponibilité du système, une capacité appropriée, des performances fiables, un temps de réponse rapide et une capacité de mise à l'échelle dans le cadre de la conception du système. | Une instance optimisée dans Amazon Elastic Block Store (Amazon EBS) fournit une capacité supplémentaire dédiée aux opérations d'E/S d'Amazon EBS. Cette optimisation offre les performances les plus efficaces pour vos volumes EBS en minimisant les conflits entre les opérations d'E/S d'Amazon EBS et le trafic restant de votre instance. | |
| 3.3.1(a) | a) Tenez compte des facteurs importants permettant de garantir une haute disponibilité du système, une capacité appropriée, des performances fiables, un temps de réponse rapide et une capacité de mise à l'échelle dans le cadre de la conception du système. | Cette règle garantit que la protection contre la suppression est activée pour Elastic Load Balancing. Utilisez cette fonctionnalité pour empêcher la suppression accidentelle ou malveillante de votre équilibreur de charge, ce qui pourrait entraîner une perte de disponibilité pour vos applications. | |
| 3.3.1(a) | a) Tenez compte des facteurs importants permettant de garantir une haute disponibilité du système, une capacité appropriée, des performances fiables, un temps de réponse rapide et une capacité de mise à l'échelle dans le cadre de la conception du système. | La prise en charge multi-AZ dans Amazon Relational Database Service (Amazon RDS) offre une disponibilité et une durabilité améliorées pour les instances de base de données. Lorsque vous mettez en service une instance de base de données multi-AZ, Amazon RDS crée automatiquement une instance de base de données principale et réplique de manière synchrone les données vers une instance de secours dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé. | |
| 3.3.1(a) | a) Tenez compte des facteurs importants permettant de garantir une haute disponibilité du système, une capacité appropriée, des performances fiables, un temps de réponse rapide et une capacité de mise à l'échelle dans le cadre de la conception du système. | La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données. | |
| 3.3.1(a) | a) Tenez compte des facteurs importants permettant de garantir une haute disponibilité du système, une capacité appropriée, des performances fiables, un temps de réponse rapide et une capacité de mise à l'échelle dans le cadre de la conception du système. | La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative. | |
| 3.3.1(a) | a) Tenez compte des facteurs importants permettant de garantir une haute disponibilité du système, une capacité appropriée, des performances fiables, un temps de réponse rapide et une capacité de mise à l'échelle dans le cadre de la conception du système. | Des tunnels Site-to-Site VPN redondants peuvent être mis en œuvre pour répondre aux exigences de résilience. Il utilise deux tunnels pour garantir la connectivité au cas où l'une des connexions Site-to-Site VPN deviendrait indisponible. Pour éviter toute perte de connectivité, en cas d'indisponibilité de votre passerelle client, vous pouvez configurer une deuxième connexion Site-to-Site VPN vers votre Amazon Virtual Private Cloud (Amazon VPC) et votre passerelle privée virtuelle en utilisant une deuxième passerelle client. | |
| 3.3.1(a) | a) Tenez compte des facteurs importants permettant de garantir une haute disponibilité du système, une capacité appropriée, des performances fiables, un temps de réponse rapide et une capacité de mise à l'échelle dans le cadre de la conception du système. | Activez l'équilibrage de charge entre zones pour vos équilibreurs de charge élastiques (ELBs) afin de maintenir une capacité et une disponibilité adéquates. L'équilibrage de charge entre zones réduit la nécessité de maintenir un nombre équivalent d'instances dans chaque zone de disponibilité activée. Cela améliore également la capacité de votre application à gérer la perte d'une ou de plusieurs instances. | |
| 3.3.1(a) | a) Tenez compte des facteurs importants permettant de garantir une haute disponibilité du système, une capacité appropriée, des performances fiables, un temps de réponse rapide et une capacité de mise à l'échelle dans le cadre de la conception du système. | Assurez-vous que la protection contre la suppression est activée sur les instances Amazon Relational Database Service (Amazon RDS). Utilisez la protection contre la suppression pour empêcher la suppression accidentelle ou malveillante des instances Amazon RDS, ce qui pourrait entraîner une perte de disponibilité pour vos applications. | |
| 3.3.1(a) | a) Tenez compte des facteurs importants permettant de garantir une haute disponibilité du système, une capacité appropriée, des performances fiables, un temps de réponse rapide et une capacité de mise à l'échelle dans le cadre de la conception du système. | Les tests de santé Elastic Load Balancer (ELB) pour les groupes Amazon Elastic Compute Cloud (Amazon) EC2 Auto Scaling permettent de maintenir une capacité et une disponibilité adéquates. L'équilibreur de charge envoie régulièrement des pings, tente de se connecter ou envoie des demandes pour tester l'état des EC2 instances Amazon dans un groupe d'auto-scaling. Si une instance ne produit pas de rapport, le trafic est envoyé vers une nouvelle EC2 instance Amazon. | |
| 3.3.1(a) | a) Tenez compte des facteurs importants permettant de garantir une haute disponibilité du système, une capacité appropriée, des performances fiables, un temps de réponse rapide et une capacité de mise à l'échelle dans le cadre de la conception du système. | Activez cette règle pour vous assurer que la capacité de débit allouée est vérifiée sur vos tables Amazon DynamoDB. Il s'agit du volume d'activité de lecture/d'écriture que chaque table peut prendre en charge. DynamoDB utilise ces informations pour réserver des ressources système suffisantes pour répondre à vos exigences de débit. Cette règle génère une alerte lorsque le débit approche de la limite maximale pour le compte d'un client. Cette règle vous permet de définir éventuellement les paramètres du RCUThreshold pourcentage du compte (par défaut de configuration : 80) et du WCUThreshold pourcentage du compte (par défaut de configuration : 80). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.3.1(a) | a) Tenez compte des facteurs importants permettant de garantir une haute disponibilité du système, une capacité appropriée, des performances fiables, un temps de réponse rapide et une capacité de mise à l'échelle dans le cadre de la conception du système. | Cette règle assure que les limites de simultanéité élevées et basses d'une fonction Lambda ont été définies. Elle permet de référencer le nombre de demandes auxquelles votre fonction répond à un moment donné. | |
| 3.4(a)(b)(c)(f)(j) | a) Veillez à ce que les enregistrements des accès des utilisateurs soient identifiés et journalisés de façon unique à des fins d'audit et de révision. b) Documentez la responsabilité et l'identification des accès non autorisés. c) Activez la journalisation des audits des activités du système réalisées par les utilisateurs privilégiés. f) Garantissez une journalisation et une surveillance appropriées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées. j) Assurez-vous que la journalisation des événements constitue la base des systèmes de surveillance automatisés capables de générer des rapports consolidés et des alertes sur la sécurité du système. | La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs. | |
| 3.4(a)(b)(c)(f)(j) | a) Veillez à ce que les enregistrements des accès des utilisateurs soient identifiés et journalisés de façon unique à des fins d'audit et de révision. b) Documentez la responsabilité et l'identification des accès non autorisés. c) Activez la journalisation des audits des activités du système réalisées par les utilisateurs privilégiés. f) Garantissez une journalisation et une surveillance appropriées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées. j) Assurez-vous que la journalisation des événements constitue la base des systèmes de surveillance automatisés capables de générer des rapports consolidés et des alertes sur la sécurité du système. | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS. | |
| 3.4(a)(b)(c)(f)(j) | a) Veillez à ce que les enregistrements des accès des utilisateurs soient identifiés et journalisés de façon unique à des fins d'audit et de révision. b) Documentez la responsabilité et l'identification des accès non autorisés. c) Activez la journalisation des audits des activités du système réalisées par les utilisateurs privilégiés. f) Garantissez une journalisation et une surveillance appropriées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées. j) Assurez-vous que la journalisation des événements constitue la base des systèmes de surveillance automatisés capables de générer des rapports consolidés et des alertes sur la sécurité du système. | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
| 3.4(a)(b)(c)(f)(j) | a) Veillez à ce que les enregistrements des accès des utilisateurs soient identifiés et journalisés de façon unique à des fins d'audit et de révision. b) Documentez la responsabilité et l'identification des accès non autorisés. c) Activez la journalisation des audits des activités du système réalisées par les utilisateurs privilégiés. f) Garantissez une journalisation et une surveillance appropriées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées. j) Assurez-vous que la journalisation des événements constitue la base des systèmes de surveillance automatisés capables de générer des rapports consolidés et des alertes sur la sécurité du système. | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les Compte AWS informations qui ont accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
| 3.4(a)(b)(c)(f)(j) | a) Veillez à ce que les enregistrements des accès des utilisateurs soient identifiés et journalisés de façon unique à des fins d'audit et de révision. b) Documentez la responsabilité et l'identification des accès non autorisés. c) Activez la journalisation des audits des activités du système réalisées par les utilisateurs privilégiés. f) Garantissez une journalisation et une surveillance appropriées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées. j) Assurez-vous que la journalisation des événements constitue la base des systèmes de surveillance automatisés capables de générer des rapports consolidés et des alertes sur la sécurité du système. | Utilisez la validation des fichiers AWS CloudTrail journaux pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonctionnalité est créée grâce à des algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection. | |
| 3.4(a)(b)(c)(f)(j) | a) Veillez à ce que les enregistrements des accès des utilisateurs soient identifiés et journalisés de façon unique à des fins d'audit et de révision. b) Documentez la responsabilité et l'identification des accès non autorisés. c) Activez la journalisation des audits des activités du système réalisées par les utilisateurs privilégiés. f) Garantissez une journalisation et une surveillance appropriées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées. j) Assurez-vous que la journalisation des événements constitue la base des systèmes de surveillance automatisés capables de générer des rapports consolidés et des alertes sur la sécurité du système. | L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. | |
| 3.4(a)(b)(c)(f)(j) | a) Veillez à ce que les enregistrements des accès des utilisateurs soient identifiés et journalisés de façon unique à des fins d'audit et de révision. b) Documentez la responsabilité et l'identification des accès non autorisés. c) Activez la journalisation des audits des activités du système réalisées par les utilisateurs privilégiés. f) Garantissez une journalisation et une surveillance appropriées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées. j) Assurez-vous que la journalisation des événements constitue la base des systèmes de surveillance automatisés capables de générer des rapports consolidés et des alertes sur la sécurité du système. | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
| 3.4(a)(b)(c)(f)(j) | a) Veillez à ce que les enregistrements des accès des utilisateurs soient identifiés et journalisés de façon unique à des fins d'audit et de révision. b) Documentez la responsabilité et l'identification des accès non autorisés. c) Activez la journalisation des audits des activités du système réalisées par les utilisateurs privilégiés. f) Garantissez une journalisation et une surveillance appropriées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées. j) Assurez-vous que la journalisation des événements constitue la base des systèmes de surveillance automatisés capables de générer des rapports consolidés et des alertes sur la sécurité du système. | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
| 3.4(a)(b)(c)(f)(j) | a) Veillez à ce que les enregistrements des accès des utilisateurs soient identifiés et journalisés de façon unique à des fins d'audit et de révision. b) Documentez la responsabilité et l'identification des accès non autorisés. c) Activez la journalisation des audits des activités du système réalisées par les utilisateurs privilégiés. f) Garantissez une journalisation et une surveillance appropriées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées. j) Assurez-vous que la journalisation des événements constitue la base des systèmes de surveillance automatisés capables de générer des rapports consolidés et des alertes sur la sécurité du système. | Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole. | |
| 3.4(a)(b)(c)(f)(j) | a) Veillez à ce que les enregistrements des accès des utilisateurs soient identifiés et journalisés de façon unique à des fins d'audit et de révision. b) Documentez la responsabilité et l'identification des accès non autorisés. c) Activez la journalisation des audits des activités du système réalisées par les utilisateurs privilégiés. f) Garantissez une journalisation et une surveillance appropriées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées. j) Assurez-vous que la journalisation des événements constitue la base des systèmes de surveillance automatisés capables de générer des rapports consolidés et des alertes sur la sécurité du système. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
| 3.4(a)(b)(c)(f)(j) | a) Veillez à ce que les enregistrements des accès des utilisateurs soient identifiés et journalisés de façon unique à des fins d'audit et de révision. b) Documentez la responsabilité et l'identification des accès non autorisés. c) Activez la journalisation des audits des activités du système réalisées par les utilisateurs privilégiés. f) Garantissez une journalisation et une surveillance appropriées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées. j) Assurez-vous que la journalisation des événements constitue la base des systèmes de surveillance automatisés capables de générer des rapports consolidés et des alertes sur la sécurité du système. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur le Web ACLs régional et mondial. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait. | |
| 3.4(a)(b)(c)(f)(j) | a) Veillez à ce que les enregistrements des accès des utilisateurs soient identifiés et journalisés de façon unique à des fins d'audit et de révision. b) Documentez la responsabilité et l'identification des accès non autorisés. c) Activez la journalisation des audits des activités du système réalisées par les utilisateurs privilégiés. f) Garantissez une journalisation et une surveillance appropriées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées. j) Assurez-vous que la journalisation des événements constitue la base des systèmes de surveillance automatisés capables de générer des rapports consolidés et des alertes sur la sécurité du système. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.4(a)(b)(c)(f)(j) | a) Veillez à ce que les enregistrements des accès des utilisateurs soient identifiés et journalisés de façon unique à des fins d'audit et de révision. b) Documentez la responsabilité et l'identification des accès non autorisés. c) Activez la journalisation des audits des activités du système réalisées par les utilisateurs privilégiés. f) Garantissez une journalisation et une surveillance appropriées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées. j) Assurez-vous que la journalisation des événements constitue la base des systèmes de surveillance automatisés capables de générer des rapports consolidés et des alertes sur la sécurité du système. | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| 3.4(a)(b)(c)(f)(j) | a) Veillez à ce que les enregistrements des accès des utilisateurs soient identifiés et journalisés de façon unique à des fins d'audit et de révision. b) Documentez la responsabilité et l'identification des accès non autorisés. c) Activez la journalisation des audits des activités du système réalisées par les utilisateurs privilégiés. f) Garantissez une journalisation et une surveillance appropriées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées. j) Assurez-vous que la journalisation des événements constitue la base des systèmes de surveillance automatisés capables de générer des rapports consolidés et des alertes sur la sécurité du système. | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| 3.4(f) | f) Veillez à effectuer une journalisation et une surveillance appropriées pour permettre l'enregistrement et la détection des actions susceptibles d'affecter la sécurité des informations, ou qui y sont associées. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| 3.4(g) | g) Assurez-vous que les journaux d'événements incluent, le cas échéant : - Utilisateur IDs - Activités du système - Dates, heures et détails des événements clés, par exemple ouverture et fermeture de session - Identification ou emplacement de l'appareil, si possible, identifiant du système - Enregistrements des tentatives d'accès au système réussies et rejetées - Enregistrements des tentatives d'accès réussies et rejetées aux données et autres ressources - Modifications de la configuration du système - Utilisation des utilitaires et applications du système - Fichiers consultés et type d'accès - Adresses et protocoles réseau - Alarmes déclenchées par le contrôle d'accès système et - Enregistrements des transactions exécutées par les utilisateurs dans des applications et des transactions clients en ligne | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les Compte AWS informations qui ont accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
| 3.4(g) | g) Assurez-vous que les journaux d'événements incluent, le cas échéant : - Utilisateur IDs - Activités du système - Dates, heures et détails des événements clés, par exemple ouverture et fermeture de session - Identification ou emplacement de l'appareil, si possible, identifiant du système - Enregistrements des tentatives d'accès au système réussies et rejetées - Enregistrements des tentatives d'accès réussies et rejetées aux données et autres ressources - Modifications de la configuration du système - Utilisation des utilitaires et applications du système - Fichiers consultés et type d'accès - Adresses et protocoles réseau - Alarmes déclenchées par le contrôle d'accès système et - Enregistrements des transactions exécutées par les utilisateurs dans des applications et des transactions clients en ligne | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
| 3.4(g) | g) Assurez-vous que les journaux d'événements incluent, le cas échéant : - Utilisateur IDs - Activités du système - Dates, heures et détails des événements clés, par exemple ouverture et fermeture de session - Identification ou emplacement de l'appareil, si possible, identifiant du système - Enregistrements des tentatives d'accès au système réussies et rejetées - Enregistrements des tentatives d'accès réussies et rejetées aux données et autres ressources - Modifications de la configuration du système - Utilisation des utilitaires et applications du système - Fichiers consultés et type d'accès - Adresses et protocoles réseau - Alarmes déclenchées par le contrôle d'accès système et - Enregistrements des transactions exécutées par les utilisateurs dans des applications et des transactions clients en ligne | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
| 3.4(g) | g) Assurez-vous que les journaux d'événements incluent, le cas échéant : - Utilisateur IDs - Activités du système - Dates, heures et détails des événements clés, par exemple ouverture et fermeture de session - Identification ou emplacement de l'appareil, si possible, identifiant du système - Enregistrements des tentatives d'accès au système réussies et rejetées - Enregistrements des tentatives d'accès réussies et rejetées aux données et autres ressources - Modifications de la configuration du système - Utilisation des utilitaires et applications du système - Fichiers consultés et type d'accès - Adresses et protocoles réseau - Alarmes déclenchées par le contrôle d'accès système et - Enregistrements des transactions exécutées par les utilisateurs dans des applications et des transactions clients en ligne | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
| 3.4(g) | g) Assurez-vous que les journaux d'événements incluent, le cas échéant : - Utilisateur IDs - Activités du système - Dates, heures et détails des événements clés, par exemple ouverture et fermeture de session - Identification ou emplacement de l'appareil, si possible, identifiant du système - Enregistrements des tentatives d'accès au système réussies et rejetées - Enregistrements des tentatives d'accès réussies et rejetées aux données et autres ressources - Modifications de la configuration du système - Utilisation des utilitaires et applications du système - Fichiers consultés et type d'accès - Adresses et protocoles réseau - Alarmes déclenchées par le contrôle d'accès système et - Enregistrements des transactions exécutées par les utilisateurs dans des applications et des transactions clients en ligne | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.4(g) | g) Assurez-vous que les journaux d'événements incluent, le cas échéant : - Utilisateur IDs - Activités du système - Dates, heures et détails des événements clés, par exemple ouverture et fermeture de session - Identification ou emplacement de l'appareil, si possible, identifiant du système - Enregistrements des tentatives d'accès au système réussies et rejetées - Enregistrements des tentatives d'accès réussies et rejetées aux données et autres ressources - Modifications de la configuration du système - Utilisation des utilitaires et applications du système - Fichiers consultés et type d'accès - Adresses et protocoles réseau - Alarmes déclenchées par le contrôle d'accès système et - Enregistrements des transactions exécutées par les utilisateurs dans des applications et des transactions clients en ligne | Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur le Web ACLs régional et mondial. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait. | |
| 3.4(g) | g) Assurez-vous que les journaux d'événements incluent, le cas échéant : - Utilisateur IDs - Activités du système - Dates, heures et détails des événements clés, par exemple ouverture et fermeture de session - Identification ou emplacement de l'appareil, si possible, identifiant du système - Enregistrements des tentatives d'accès au système réussies et rejetées - Enregistrements des tentatives d'accès réussies et rejetées aux données et autres ressources - Modifications de la configuration du système - Utilisation des utilitaires et applications du système - Fichiers consultés et type d'accès - Adresses et protocoles réseau - Alarmes déclenchées par le contrôle d'accès système et - Enregistrements des transactions exécutées par les utilisateurs dans des applications et des transactions clients en ligne | L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. | |
| 3.4(g) | g) Assurez-vous que les journaux d'événements incluent, le cas échéant : - Utilisateur IDs - Activités du système - Dates, heures et détails des événements clés, par exemple ouverture et fermeture de session - Identification ou emplacement de l'appareil, si possible, identifiant du système - Enregistrements des tentatives d'accès au système réussies et rejetées - Enregistrements des tentatives d'accès réussies et rejetées aux données et autres ressources - Modifications de la configuration du système - Utilisation des utilitaires et applications du système - Fichiers consultés et type d'accès - Adresses et protocoles réseau - Alarmes déclenchées par le contrôle d'accès système et - Enregistrements des transactions exécutées par les utilisateurs dans des applications et des transactions clients en ligne | La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs. | |
| 3.4(g) | g) Assurez-vous que les journaux d'événements incluent, le cas échéant : - Utilisateur IDs - Activités du système - Dates, heures et détails des événements clés, par exemple ouverture et fermeture de session - Identification ou emplacement de l'appareil, si possible, identifiant du système - Enregistrements des tentatives d'accès au système réussies et rejetées - Enregistrements des tentatives d'accès réussies et rejetées aux données et autres ressources - Modifications de la configuration du système - Utilisation des utilitaires et applications du système - Fichiers consultés et type d'accès - Adresses et protocoles réseau - Alarmes déclenchées par le contrôle d'accès système et - Enregistrements des transactions exécutées par les utilisateurs dans des applications et des transactions clients en ligne | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS. | |
| 3.4(g) | g) Assurez-vous que les journaux d'événements incluent, le cas échéant : - Utilisateur IDs - Activités du système - Dates, heures et détails des événements clés, par exemple ouverture et fermeture de session - Identification ou emplacement de l'appareil, si possible, identifiant du système - Enregistrements des tentatives d'accès au système réussies et rejetées - Enregistrements des tentatives d'accès réussies et rejetées aux données et autres ressources - Modifications de la configuration du système - Utilisation des utilitaires et applications du système - Fichiers consultés et type d'accès - Adresses et protocoles réseau - Alarmes déclenchées par le contrôle d'accès système et - Enregistrements des transactions exécutées par les utilisateurs dans des applications et des transactions clients en ligne | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
| 3.4(g) | g) Assurez-vous que les journaux d'événements incluent, le cas échéant : - Utilisateur IDs - Activités du système - Dates, heures et détails des événements clés, par exemple ouverture et fermeture de session - Identification ou emplacement de l'appareil, si possible, identifiant du système - Enregistrements des tentatives d'accès au système réussies et rejetées - Enregistrements des tentatives d'accès réussies et rejetées aux données et autres ressources - Modifications de la configuration du système - Utilisation des utilitaires et applications du système - Fichiers consultés et type d'accès - Adresses et protocoles réseau - Alarmes déclenchées par le contrôle d'accès système et - Enregistrements des transactions exécutées par les utilisateurs dans des applications et des transactions clients en ligne | Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole. | |
| 3.4(g) | g) Assurez-vous que les journaux d'événements incluent, le cas échéant : - Utilisateur IDs - Activités du système - Dates, heures et détails des événements clés, par exemple ouverture et fermeture de session - Identification ou emplacement de l'appareil, si possible, identifiant du système - Enregistrements des tentatives d'accès au système réussies et rejetées - Enregistrements des tentatives d'accès réussies et rejetées aux données et autres ressources - Modifications de la configuration du système - Utilisation des utilitaires et applications du système - Fichiers consultés et type d'accès - Adresses et protocoles réseau - Alarmes déclenchées par le contrôle d'accès système et - Enregistrements des transactions exécutées par les utilisateurs dans des applications et des transactions clients en ligne | Assurez-vous que la durée minimale de conservation des données des journaux d'événements pour vos groupes de journaux est suffisante pour faciliter le dépannage et les enquêtes judiciaires. Le manque de données disponibles dans les journaux d'événements passés complique la reconstitution et l'identification des événements potentiellement malveillants. | |
| 3.4(g) | g) Assurez-vous que les journaux d'événements incluent, le cas échéant : - Utilisateur IDs - Activités du système - Dates, heures et détails des événements clés, par exemple ouverture et fermeture de session - Identification ou emplacement de l'appareil, si possible, identifiant du système - Enregistrements des tentatives d'accès au système réussies et rejetées - Enregistrements des tentatives d'accès réussies et rejetées aux données et autres ressources - Modifications de la configuration du système - Utilisation des utilitaires et applications du système - Fichiers consultés et type d'accès - Adresses et protocoles réseau - Alarmes déclenchées par le contrôle d'accès système et - Enregistrements des transactions exécutées par les utilisateurs dans des applications et des transactions clients en ligne | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| 3.4(g) | g) Assurez-vous que les journaux d'événements incluent, le cas échéant : - Utilisateur IDs - Activités du système - Dates, heures et détails des événements clés, par exemple ouverture et fermeture de session - Identification ou emplacement de l'appareil, si possible, identifiant du système - Enregistrements des tentatives d'accès au système réussies et rejetées - Enregistrements des tentatives d'accès réussies et rejetées aux données et autres ressources - Modifications de la configuration du système - Utilisation des utilitaires et applications du système - Fichiers consultés et type d'accès - Adresses et protocoles réseau - Alarmes déclenchées par le contrôle d'accès système et - Enregistrements des transactions exécutées par les utilisateurs dans des applications et des transactions clients en ligne | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| 3.6.1(a)(h) | a) BFIs doivent garantir des mesures de sécurité appropriées pour leurs applications Web et prendre des mesures d'atténuation raisonnables contre les divers risques liés à la sécurité Web. h) BFIs doivent garantir des mesures de sécurité appropriées pour leurs applications Web et prendre des mesures d'atténuation raisonnables contre les divers risques de sécurité Web | Assurez-vous que AWS le WAF est activé sur les Elastic Load Balancers (ELB) pour protéger les applications Web. Un WAF permet de protéger vos applications Web ou APIs contre les exploits Web courants. Ces attaques Web peuvent affecter la disponibilité, compromettre la sécurité ou consommer des ressources excessives dans votre environnement. | |
| 3.6.1(a)(h) | a) BFIs doivent garantir des mesures de sécurité appropriées pour leurs applications Web et prendre des mesures d'atténuation raisonnables contre les divers risques liés à la sécurité Web. h) BFIs doivent garantir des mesures de sécurité appropriées pour leurs applications Web et prendre des mesures d'atténuation raisonnables contre les divers risques de sécurité Web | AWS Le WAF vous permet de configurer un ensemble de règles (appelé liste de contrôle d'accès Web (ACL Web)) qui autorisent, bloquent ou comptent les requêtes Web en fonction de règles et de conditions de sécurité Web personnalisables que vous définissez. Assurez-vous que votre étape Amazon API Gateway est associée à une liste ACL Web WAF pour la protéger contre les attaques malveillantes | |
| 3.6.1(b) | b) BFIs doivent évaluer les exigences de sécurité associées à leurs systèmes bancaires en ligne et aux autres systèmes pertinents et adopter une solution de cryptage tenant compte du degré de confidentialité et d'intégrité requis. | Assurez-vous que l'intégrité du réseau est protégée en vous assurant que les certificats X509 sont émis par AWS ACM. Ces certificats doivent être valides et non expirés. Cette règle nécessite une valeur pour daysToExpiration (valeur des meilleures pratiques de sécuritéAWS fondamentales : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| 3.6.1(b) | b) BFIs doivent évaluer les exigences de sécurité associées à leurs systèmes bancaires en ligne et aux autres systèmes pertinents et adopter une solution de cryptage tenant compte du degré de confidentialité et d'intégrité requis. | Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3.6.1(b) | b) BFIs doivent évaluer les exigences de sécurité associées à leurs systèmes bancaires en ligne et aux autres systèmes pertinents et adopter une solution de cryptage tenant compte du degré de confidentialité et d'intégrité requis. | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes. | |
| 3.6.1(b) | b) BFIs doivent évaluer les exigences de sécurité associées à leurs systèmes bancaires en ligne et aux autres systèmes pertinents et adopter une solution de cryptage tenant compte du degré de confidentialité et d'intégrité requis. | Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3.6.1(b) | b) BFIs doivent évaluer les exigences de sécurité associées à leurs systèmes bancaires en ligne et aux autres systèmes pertinents et adopter une solution de cryptage tenant compte du degré de confidentialité et d'intégrité requis. | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3.6.1(b) | b) BFIs doivent évaluer les exigences de sécurité associées à leurs systèmes bancaires en ligne et aux autres systèmes pertinents et adopter une solution de cryptage tenant compte du degré de confidentialité et d'intégrité requis. | Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés pour ne pas prendre en compte les en-têtes http. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3.6.1(b) | b) BFIs doivent évaluer les exigences de sécurité associées à leurs systèmes bancaires en ligne et aux autres systèmes pertinents et adopter une solution de cryptage tenant compte du degré de confidentialité et d'intégrité requis. | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. Node-to-nodele chiffrement permet le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3.6.1(b) | b) BFIs doivent évaluer les exigences de sécurité associées à leurs systèmes bancaires en ligne et aux autres systèmes pertinents et adopter une solution de cryptage tenant compte du degré de confidentialité et d'intégrité requis. | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. Node-to-nodele chiffrement permet le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3.6.1(b) | b) BFIs doivent évaluer les exigences de sécurité associées à leurs systèmes bancaires en ligne et aux autres systèmes pertinents et adopter une solution de cryptage tenant compte du degré de confidentialité et d'intégrité requis. | Assurez-vous que vos Elastic Load Balancers (ELBs) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 3.6.1(b) | b) BFIs doivent évaluer les exigences de sécurité associées à leurs systèmes bancaires en ligne et aux autres systèmes pertinents et adopter une solution de cryptage tenant compte du degré de confidentialité et d'intégrité requis. | Assurez-vous que les étapes de l'API REST Amazon API Gateway sont configurées avec des certificats SSL pour permettre aux systèmes backend d'authentifier que les demandes proviennent d'API Gateway. | |
| 3.6.1(b) | b) BFIs doivent évaluer les exigences de sécurité associées à leurs systèmes bancaires en ligne et aux autres systèmes pertinents et adopter une solution de cryptage tenant compte du degré de confidentialité et d'intégrité requis. | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes. | |
| 3.6.1(d) | d) la BFIs fourniture de services bancaires par Internet doit être adaptée aux conditions inhabituelles du trafic réseau et aux performances du système et à l'augmentation soudaine de l'utilisation des ressources du système, ce qui pourrait indiquer une attaque DDo S. Par conséquent, le succès de toute action préventive et réactive dépend du déploiement d'outils appropriés pour détecter, surveiller et analyser efficacement les anomalies des réseaux et des systèmes. | Assurez-vous que AWS le WAF est activé sur les Elastic Load Balancers (ELB) pour protéger les applications Web. Un WAF permet de protéger vos applications Web ou APIs contre les exploits Web courants. Ces attaques Web peuvent affecter la disponibilité, compromettre la sécurité ou consommer des ressources excessives dans votre environnement. | |
| 3.6.1(d) | d) la BFIs fourniture de services bancaires par Internet doit être adaptée aux conditions inhabituelles du trafic réseau et aux performances du système et à l'augmentation soudaine de l'utilisation des ressources du système, ce qui pourrait indiquer une attaque DDo S. Par conséquent, le succès de toute action préventive et réactive dépend du déploiement d'outils appropriés pour détecter, surveiller et analyser efficacement les anomalies des réseaux et des systèmes. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| 3.6.1(d) | d) la BFIs fourniture de services bancaires par Internet doit être adaptée aux conditions inhabituelles du trafic réseau et aux performances du système et à l'augmentation soudaine de l'utilisation des ressources du système, ce qui pourrait indiquer une attaque DDo S. Par conséquent, le succès de toute action préventive et réactive dépend du déploiement d'outils appropriés pour détecter, surveiller et analyser efficacement les anomalies des réseaux et des systèmes. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| 3.6.1(d) | d) la BFIs fourniture de services bancaires par Internet doit être adaptée aux conditions inhabituelles du trafic réseau et aux performances du système et à l'augmentation soudaine de l'utilisation des ressources du système, ce qui pourrait indiquer une attaque DDo S. Par conséquent, le succès de toute action préventive et réactive dépend du déploiement d'outils appropriés pour détecter, surveiller et analyser efficacement les anomalies des réseaux et des systèmes. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur le Web ACLs régional et mondial. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait. | |
| 3.6.1(d) | d) la BFIs fourniture de services bancaires par Internet doit être adaptée aux conditions inhabituelles du trafic réseau et aux performances du système et à l'augmentation soudaine de l'utilisation des ressources du système, ce qui pourrait indiquer une attaque DDo S. Par conséquent, le succès de toute action préventive et réactive dépend du déploiement d'outils appropriés pour détecter, surveiller et analyser efficacement les anomalies des réseaux et des systèmes. | AWS Le WAF vous permet de configurer un ensemble de règles (appelé liste de contrôle d'accès Web (ACL Web)) qui autorisent, bloquent ou comptent les requêtes Web en fonction de règles et de conditions de sécurité Web personnalisables que vous définissez. Assurez-vous que votre étape Amazon API Gateway est associée à une liste ACL Web WAF pour la protéger contre les attaques malveillantes | |
| 3.6.1(e) | e) BFIs nécessité d'évaluer régulièrement les vulnérabilités en matière de sécurité de l'information et d'évaluer l'efficacité du cadre de gestion des risques de sécurité informatique existant, en apportant les ajustements nécessaires pour garantir que les vulnérabilités émergentes soient traitées en temps opportun. Cette évaluation doit également être réalisée en cas de modification importante. | Amazon vous GuardDuty aide à comprendre l'impact d'un incident en classant les résultats par gravité : faible, moyenne et élevée. Vous pouvez utiliser ces classifications pour déterminer les stratégies et les priorités de correction. Cette règle vous permet de définir éventuellement daysLowSev (Config Default : 30), daysMediumSev (Config Default : 7) et daysHighSev (Config Default : 1) pour les résultats non archivés, comme l'exigent les politiques de votre organisation. | |
| 3.6.4(a)(b) | a) Limitez l'accès à Internet et séparez les systèmes critiques de l'environnement informatique général. b) Réduisez la surface d'attaque et les vulnérabilités. | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| 3.6.4(a)(b) | a) Limitez l'accès à Internet et séparez les systèmes critiques de l'environnement informatique général. b) Réduisez la surface d'attaque et les vulnérabilités. | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| 3.6.4(a)(b) | a) Limitez l'accès à Internet et séparez les systèmes critiques de l'environnement informatique général. b) Réduisez la surface d'attaque et les vulnérabilités. | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les EC2 instances Amazon peuvent contenir des informations sensibles et un contrôle d'accès est requis pour ces comptes. | |
| 3.6.4(a)(b) | a) Limitez l'accès à Internet et séparez les systèmes critiques de l'environnement informatique général. b) Réduisez la surface d'attaque et les vulnérabilités. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
| 3.6.4(a)(b) | a) Limitez l'accès à Internet et séparez les systèmes critiques de l'environnement informatique général. b) Réduisez la surface d'attaque et les vulnérabilités. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
| 3.6.4(a)(b) | a) Limitez l'accès à Internet et séparez les systèmes critiques de l'environnement informatique général. b) Réduisez la surface d'attaque et les vulnérabilités. | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| 3.6.4(a)(b) | a) Limitez l'accès à Internet et séparez les systèmes critiques de l'environnement informatique général. b) Réduisez la surface d'attaque et les vulnérabilités. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
| 3.6.4(a)(b) | a) Limitez l'accès à Internet et séparez les systèmes critiques de l'environnement informatique général. b) Réduisez la surface d'attaque et les vulnérabilités. | Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et d'autres services au sein d'Amazon VPC, sans avoir besoin de passerelle Internet, d'appareil NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez EC2 des instances Amazon à un Amazon VPC pour gérer correctement l'accès. | |
| 3.6.4(a)(b) | a) Limitez l'accès à Internet et séparez les systèmes critiques de l'environnement informatique général. b) Réduisez la surface d'attaque et les vulnérabilités. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les passerelles Internet ne sont connectées qu'à Amazon Virtual Private Cloud (Amazon VPC) autorisé. Les passerelles Internet permettent un accès bidirectionnel à Internet depuis et vers le réseau Amazon VPC, ce qui peut potentiellement entraîner un accès non autorisé aux ressources Amazon VPC. | |
| 3.6.4(a)(b) | a) Limitez l'accès à Internet et séparez les systèmes critiques de l'environnement informatique général. b) Réduisez la surface d'attaque et les vulnérabilités. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
| 3.6.4(a)(b) | a) Limitez l'accès à Internet et séparez les systèmes critiques de l'environnement informatique général. b) Réduisez la surface d'attaque et les vulnérabilités. | Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC. | |
| 3.6.4(a)(b) | a) Limitez l'accès à Internet et séparez les systèmes critiques de l'environnement informatique général. b) Réduisez la surface d'attaque et les vulnérabilités. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| 3.6.4(a)(b) | a) Limitez l'accès à Internet et séparez les systèmes critiques de l'environnement informatique général. b) Réduisez la surface d'attaque et les vulnérabilités. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| 3.6.4(a)(b) | a) Limitez l'accès à Internet et séparez les systèmes critiques de l'environnement informatique général. b) Réduisez la surface d'attaque et les vulnérabilités. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| 3.6.4(a)(b) | a) Limitez l'accès à Internet et séparez les systèmes critiques de l'environnement informatique général. b) Réduisez la surface d'attaque et les vulnérabilités. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.6.4(a)(b) | a) Limitez l'accès à Internet et séparez les systèmes critiques de l'environnement informatique général. b) Réduisez la surface d'attaque et les vulnérabilités. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| 3.6.4(a)(b) | a) Limitez l'accès à Internet et séparez les systèmes critiques de l'environnement informatique général. b) Réduisez la surface d'attaque et les vulnérabilités. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| 3.6.4(a)(b) | a) Limitez l'accès à Internet et séparez les systèmes critiques de l'environnement informatique général. b) Réduisez la surface d'attaque et les vulnérabilités. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
| 3.6.4(a)(b) | a) Limitez l'accès à Internet et séparez les systèmes critiques de l'environnement informatique général. b) Réduisez la surface d'attaque et les vulnérabilités. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
| 3.6.4(a)(b) | a) Limitez l'accès à Internet et séparez les systèmes critiques de l'environnement informatique général. b) Réduisez la surface d'attaque et les vulnérabilités. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
| 3.6.4(a)(b) | a) Limitez l'accès à Internet et séparez les systèmes critiques de l'environnement informatique général. b) Réduisez la surface d'attaque et les vulnérabilités. | Assurez-vous que les tables de EC2 routage Amazon ne disposent pas de routes illimitées vers une passerelle Internet. La suppression ou la limitation de l'accès à Internet pour les charges de travail au sein d'Amazon VPCs peut réduire les accès involontaires au sein de votre environnement. | |
| 3.6.4(a)(b) | a) Limitez l'accès à Internet et séparez les systèmes critiques de l'environnement informatique général. b) Réduisez la surface d'attaque et les vulnérabilités. | Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux sur lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale. | |
| 3.6.4(a)(b) | a) Limitez l'accès à Internet et séparez les systèmes critiques de l'environnement informatique général. b) Réduisez la surface d'attaque et les vulnérabilités. | Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. EC2 les ressources ne doivent pas être accessibles au public, car cela peut permettre un accès involontaire à vos applications ou à vos serveurs. | |
| 3.6.4(a)(b) | a) Limitez l'accès à Internet et séparez les systèmes critiques de l'environnement informatique général. b) Réduisez la surface d'attaque et les vulnérabilités. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| 3.6.4(a)(b) | a) Limitez l'accès à Internet et séparez les systèmes critiques de l'environnement informatique général. b) Réduisez la surface d'attaque et les vulnérabilités. | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. |
Modèle
Le modèle est disponible sur GitHub : Operational Best Practices for NBC TRMG
