Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Bonnes pratiques de fonctionnement pour NIST 800 181
Les packs de conformité fournissent un cadre de conformité à usage général conçu pour vous permettre de créer des contrôles de gouvernance en matière de sécurité, d'exploitation ou d'optimisation des coûts à l'aide de AWS Config règles gérées ou personnalisées et d'actions correctives. AWS Config Les packs de conformité, en tant qu'exemples de modèle, ne sont pas conçus pour garantir pleinement la conformité à une norme de gouvernance ou de conformité spécifique. Il vous incombe de déterminer vous-même si votre utilisation des services est conforme aux exigences légales et réglementaires applicables.
Vous trouverez ci-dessous un exemple de mappage entre le NIST 800 181 et les règles de configuration AWS gérées. Chaque règle de configuration s'applique à une AWS ressource spécifique et concerne un ou plusieurs contrôles NIST 800 181. Un contrôle NIST 800 181 peut être associé à plusieurs règles de configuration. Reportez-vous au tableau ci-dessous pour obtenir plus de détails et des conseils relatifs à ces mappages.
| ID du contrôle | Description du contrôle | AWS Règle de configuration | Conseils |
|---|---|---|---|
| T0008 | Analysez et planifiez les modifications prévues des besoins en matière de capacité de données. | Amazon DynamoDB Auto Scaling AWS utilise le service Application Auto Scaling pour ajuster la capacité de débit allouée afin de répondre automatiquement aux modèles de trafic réels. Cela permet à une table ou à un index secondaire global d'augmenter sa capacité de lecture/d'écriture approvisionnée afin de gérer les hausses soudaines de trafic sans limitation. | |
| T0008 | Analysez et planifiez les modifications prévues des besoins en matière de capacité de données. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos tables Amazon DynamoDB font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| T0008 | Analysez et planifiez les modifications prévues des besoins en matière de capacité de données. | Activez cette règle pour vérifier que les informations ont été sauvegardées. Il gère également les sauvegardes en s'assurant que la point-in-time restauration est activée dans Amazon DynamoDB. La récupération permet de maintenir des sauvegardes continues de votre table pour les 35 derniers jours. | |
| T0008 | Analysez et planifiez les modifications prévues des besoins en matière de capacité de données. | Activez cette règle pour vous assurer que la capacité de débit allouée est vérifiée sur vos tables Amazon DynamoDB. Il s'agit du volume d'activité de lecture/d'écriture que chaque table peut prendre en charge. DynamoDB utilise ces informations pour réserver des ressources système suffisantes pour répondre à vos exigences de débit. Cette règle génère une alerte lorsque le débit approche de la limite maximale pour le compte d'un client. Cette règle vous permet de définir éventuellement les paramètres AccountRCU (ThresholdPercentage Config Default : 80) et AccountWCU ThresholdPercentage (Config Default : 80). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0008 | Analysez et planifiez les modifications prévues des besoins en matière de capacité de données. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos volumes Amazon Elastic Block Store (Amazon EBS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| T0008 | Analysez et planifiez les modifications prévues des besoins en matière de capacité de données. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon Elastic File System (Amazon EFS) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| T0008 | Analysez et planifiez les modifications prévues des besoins en matière de capacité de données. | Lorsque les sauvegardes automatiques sont activées, Amazon ElastiCache crée une sauvegarde du cluster quotidiennement. La sauvegarde peut être conservée pendant un nombre de jours défini par votre organisation. Les sauvegardes automatiques peuvent constituer une protection contre la perte de données. En cas de défaillance, vous pouvez créer un nouveau cluster, ce qui restaurera vos données à partir de la sauvegarde la plus récente. | |
| T0008 | Analysez et planifiez les modifications prévues des besoins en matière de capacité de données. | Activez l'équilibrage de charge entre zones pour vos équilibreurs de charge Elastic Load Balancing (ELB) afin de maintenir une capacité et une disponibilité adéquates. L'équilibrage de charge entre zones réduit la nécessité de maintenir un nombre équivalent d'instances dans chaque zone de disponibilité activée. Cela améliore également la capacité de votre application à gérer la perte d'une ou de plusieurs instances. | |
| T0008 | Analysez et planifiez les modifications prévues des besoins en matière de capacité de données. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos instances Amazon Relational Database Service (Amazon RDS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| T0008 | Analysez et planifiez les modifications prévues des besoins en matière de capacité de données. | La prise en charge multi-AZ dans Amazon Relational Database Service (Amazon RDS) offre une disponibilité et une durabilité améliorées pour les instances de base de données. Lorsque vous mettez en service une instance de base de données multi-AZ, Amazon RDS crée automatiquement une instance de base de données principale et réplique de manière synchrone les données vers une instance de secours dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé. | |
| T0008 | Analysez et planifiez les modifications prévues des besoins en matière de capacité de données. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos clusters Amazon Redshift disposent d'instantanés automatisés. Lorsque les instantanés automatiques sont activés pour un cluster, Redshift prend régulièrement des instantanés de ce cluster. Par défaut, Redshift prend un instantané toutes les huit heures ou tous les 5 Go pour chaque nœud de modification des données, ou selon la première éventualité. | |
| T0008 | Analysez et planifiez les modifications prévues des besoins en matière de capacité de données. | La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données. | |
| T0008 | Analysez et planifiez les modifications prévues des besoins en matière de capacité de données. | Pour faciliter les processus de sauvegarde des données, assurez-vous que votre plan AWS de sauvegarde est défini pour une fréquence et une rétention minimales. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Cette règle vous permet de définir les paramètres requiredFrequencyValue (Config par défaut : 1), requiredRetentionDays (Config par défaut : 35) et requiredFrequencyUnit (Config par défaut : jours). La valeur réelle doit refléter les exigences de votre organisation. | |
| T0008 | Analysez et planifiez les modifications prévues des besoins en matière de capacité de données. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Elastic Compute Cloud (Amazon EC2) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Assurez-vous que l'intégrité du réseau est protégée en vous assurant que les certificats X509 sont émis par AWS ACM. Ces certificats doivent être valides et non expirés. Cette règle nécessite une valeur pour daysToExpiration (valeur des meilleures pratiques de sécuritéAWS fondamentales : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour le cache de votre environnement API Gateway. Étant donné que des données sensibles peuvent être capturées pour la méthode API, activez le chiffrement au repos pour protéger ces données. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Pour faciliter les processus de sauvegarde des données, assurez-vous que votre plan AWS de sauvegarde est défini pour une fréquence et une rétention minimales. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Cette règle vous permet de définir les paramètres requiredFrequencyValue (Config par défaut : 1), requiredRetentionDays (Config par défaut : 35) et requiredFrequencyUnit (Config par défaut : jours). La valeur réelle doit refléter les exigences de votre organisation. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Assurez-vous que vos points AWS de restauration Backup sont associés à une politique basée sur les ressources qui empêche la suppression de points de restauration. L'utilisation d'une politique basée sur les ressources pour empêcher la suppression des points de récupération peut aider à empêcher les suppressions accidentelles ou intentionnelles. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le cryptage est activé pour vos AWS CloudTrail pistes. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Utilisez la validation des fichiers AWS CloudTrail journaux pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonctionnalité est créée grâce à des algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Activez la rotation des clés pour vous assurer que les clés ont fait l'objet d'une rotation une fois la fin de leur période de chiffrement atteinte. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | La fonctionnalité de sauvegarde d'Amazon RDS crée des sauvegardes de vos bases de données et de vos journaux de transactions. Amazon RDS crée automatiquement un instantané du volume de stockage de votre instance de base de données, en sauvegardant l'intégralité de cette dernière. Le système vous permet de définir des périodes de conservation spécifiques pour répondre à vos exigences de résilience. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Amazon DynamoDB Auto Scaling AWS utilise le service Application Auto Scaling pour ajuster la capacité de débit allouée afin de répondre automatiquement aux modèles de trafic réels. Cela permet à une table ou à un index secondaire global d'augmenter sa capacité de lecture/d'écriture approvisionnée afin de gérer les hausses soudaines de trafic sans limitation. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Activez cette règle pour vérifier que les informations ont été sauvegardées. Il gère également les sauvegardes en s'assurant que la point-in-time restauration est activée dans Amazon DynamoDB. La récupération permet de maintenir des sauvegardes continues de votre table pour les 35 derniers jours. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos volumes Amazon Elastic Block Store (Amazon EBS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Elastic Compute Cloud (Amazon EC2) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour votre Amazon Elastic File System (EFS). | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon Elastic File System (Amazon EFS) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Lorsque les sauvegardes automatiques sont activées, Amazon ElastiCache crée une sauvegarde du cluster quotidiennement. La sauvegarde peut être conservée pendant un nombre de jours défini par votre organisation. Les sauvegardes automatiques peuvent constituer une protection contre la perte de données. En cas de défaillance, vous pouvez créer un nouveau cluster, ce qui restaurera vos données à partir de la sauvegarde la plus récente. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch OpenSearch Service (Service). | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Activez l'équilibrage de charge entre zones pour vos équilibreurs de charge Elastic Load Balancing (ELB) afin de maintenir une capacité et une disponibilité adéquates. L'équilibrage de charge entre zones réduit la nécessité de maintenir un nombre équivalent d'instances dans chaque zone de disponibilité activée. Cela améliore également la capacité de votre application à gérer la perte d'une ou de plusieurs instances. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Cette règle garantit que la protection contre la suppression est activée pour Elastic Load Balancing. Utilisez cette fonctionnalité pour empêcher la suppression accidentelle ou malveillante de votre équilibreur de charge, ce qui pourrait entraîner une perte de disponibilité pour vos applications. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Pour protéger les données au repos, assurez-vous que la suppression des clés principales du client (CMK) nécessaires n'est pas planifiée dans le service de gestion des AWS clés (AWS KMS). La suppression de clés étant parfois nécessaire, cette règle peut aider à vérifier toutes les clés dont la suppression est prévue, au cas où la suppression d'une clé aurait été planifiée par inadvertance. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon Elasticsearch Service (Amazon ES). | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Assurez-vous que la protection contre la suppression est activée sur les instances Amazon Relational Database Service (Amazon RDS). Utilisez la protection contre la suppression pour empêcher la suppression accidentelle ou malveillante des instances Amazon RDS, ce qui pourrait entraîner une perte de disponibilité pour vos applications. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos instances Amazon Relational Database Service (Amazon RDS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | La prise en charge multi-AZ dans Amazon Relational Database Service (Amazon RDS) offre une disponibilité et une durabilité améliorées pour les instances de base de données. Lorsque vous mettez en service une instance de base de données multi-AZ, Amazon RDS crée automatiquement une instance de base de données principale et réplique de manière synchrone les données vers une instance de secours dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos dans les instances Amazon RDS, activez le chiffrement au repos pour protéger ces données. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos clusters Amazon Redshift disposent d'instantanés automatisés. Lorsque les instantanés automatiques sont activés pour un cluster, Redshift prend régulièrement des instantanés de ce cluster. Par défaut, Redshift prend un instantané toutes les huit heures ou tous les 5 Go pour chaque nœud de modification des données, ou selon la première éventualité. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans un compartiment Amazon S3, activez le chiffrement au repos pour protéger ces données. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker terminal. Étant donné que les données sensibles peuvent exister au repos sur le SageMaker terminal, activez le chiffrement au repos pour protéger ces données. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker ordinateur portable. Étant donné que des données sensibles peuvent exister au repos dans le SageMaker bloc-notes, activez le chiffrement au repos pour protéger ces données. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Des tunnels Site-to-Site VPN redondants peuvent être mis en œuvre pour répondre aux exigences de résilience. Deux tunnels sont utilisés pour garantir la connectivité au cas où l'une des connexions Site-to-Site VPN deviendrait indisponible. Pour bénéficier d'une protection contre la perte de connectivité en cas d'indisponibilité de votre passerelle client, vous pouvez configurer une seconde connexion Site-to-Site VPN vers votre réseau Amazon Virtual Private Cloud (Amazon VPC) et votre passerelle privée virtuelle en ajoutant une seconde passerelle client. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Assurez-vous que les étapes de l'API REST Amazon API Gateway sont configurées avec des certificats SSL pour permettre aux systèmes backend d'authentifier que les demandes proviennent d'API Gateway. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Assurez-vous que le chiffrement est activé pour vos points AWS de restauration Backup. Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre cluster Amazon Redshift. Comme il peut y avoir des données sensibles au repos dans les clusters Redshift, activez le chiffrement au repos pour protéger ces données. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
| T0017 | Appliquez les principes de l'architecture de sécurité orientée services pour répondre aux exigences de l'organisation en matière de confidentialité, d'intégrité et de disponibilité. | Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale. | |
| T0024 | Collectez et tenez à jour les données nécessaires à l'établissement des rapports sur la cybersécurité des systèmes. | Assurez-vous que la durée minimale de conservation des données des journaux d'événements pour vos groupes de journaux est suffisante pour faciliter le dépannage et les enquêtes judiciaires. Le manque de données disponibles dans les journaux d'événements passés complique la reconstitution et l'identification des événements potentiellement malveillants. | |
| T0042 | Coordonnez-vous avec les analystes de cyberdéfense pour gérer et administrer la mise à jour des règles et des signatures (par exemple, les systèmes de détection/protection contre les intrusions, les antivirus et les listes noires de contenu) pour les applications de cyberdéfense spécialisées. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| T0047 | Mettez en corrélation les données relatives aux incidents afin d'identifier les vulnérabilités spécifiques et de formuler des recommandations permettant de les corriger rapidement. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| T0051 | Définissez les niveaux appropriés de disponibilité du système selon les fonctions critiques du système et veillez à ce que les exigences du système définissent les exigences appropriées en matière de reprise après sinistre et de continuité des opérations, notamment les exigences en matière de basculement ou de site alternatif, de sauvegarde et de support matériel pour la récupération/restauration du système. | Assurez-vous que le chiffrement est activé pour vos points AWS de restauration Backup. Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données. | |
| T0051 | Définissez les niveaux appropriés de disponibilité du système selon les fonctions critiques du système et veillez à ce que les exigences du système définissent les exigences appropriées en matière de reprise après sinistre et de continuité des opérations, notamment les exigences en matière de basculement ou de site alternatif, de sauvegarde et de support matériel pour la récupération/restauration du système. | Assurez-vous que vos points AWS de restauration Backup sont associés à une politique basée sur les ressources qui empêche la suppression de points de restauration. L'utilisation d'une politique basée sur les ressources pour empêcher la suppression des points de récupération peut aider à empêcher les suppressions accidentelles ou intentionnelles. | |
| T0051 | Définissez les niveaux appropriés de disponibilité du système selon les fonctions critiques du système et veillez à ce que les exigences du système définissent les exigences appropriées en matière de reprise après sinistre et de continuité des opérations, notamment les exigences en matière de basculement ou de site alternatif, de sauvegarde et de support matériel pour la récupération/restauration du système. | La fonctionnalité de sauvegarde d'Amazon RDS crée des sauvegardes de vos bases de données et de vos journaux de transactions. Amazon RDS crée automatiquement un instantané du volume de stockage de votre instance de base de données, en sauvegardant l'intégralité de cette dernière. Le système vous permet de définir des périodes de conservation spécifiques pour répondre à vos exigences de résilience. | |
| T0051 | Définissez les niveaux appropriés de disponibilité du système selon les fonctions critiques du système et veillez à ce que les exigences du système définissent les exigences appropriées en matière de reprise après sinistre et de continuité des opérations, notamment les exigences en matière de basculement ou de site alternatif, de sauvegarde et de support matériel pour la récupération/restauration du système. | Amazon DynamoDB Auto Scaling AWS utilise le service Application Auto Scaling pour ajuster la capacité de débit allouée afin de répondre automatiquement aux modèles de trafic réels. Cela permet à une table ou à un index secondaire global d'augmenter sa capacité de lecture/d'écriture approvisionnée afin de gérer les hausses soudaines de trafic sans limitation. | |
| T0051 | Définissez les niveaux appropriés de disponibilité du système selon les fonctions critiques du système et veillez à ce que les exigences du système définissent les exigences appropriées en matière de reprise après sinistre et de continuité des opérations, notamment les exigences en matière de basculement ou de site alternatif, de sauvegarde et de support matériel pour la récupération/restauration du système. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos tables Amazon DynamoDB font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| T0051 | Définissez les niveaux appropriés de disponibilité du système selon les fonctions critiques du système et veillez à ce que les exigences du système définissent les exigences appropriées en matière de reprise après sinistre et de continuité des opérations, notamment les exigences en matière de basculement ou de site alternatif, de sauvegarde et de support matériel pour la récupération/restauration du système. | Activez cette règle pour vérifier que les informations ont été sauvegardées. Il gère également les sauvegardes en s'assurant que la point-in-time restauration est activée dans Amazon DynamoDB. La récupération permet de maintenir des sauvegardes continues de votre table pour les 35 derniers jours. | |
| T0051 | Définissez les niveaux appropriés de disponibilité du système selon les fonctions critiques du système et veillez à ce que les exigences du système définissent les exigences appropriées en matière de reprise après sinistre et de continuité des opérations, notamment les exigences en matière de basculement ou de site alternatif, de sauvegarde et de support matériel pour la récupération/restauration du système. | Activez cette règle pour vous assurer que la capacité de débit allouée est vérifiée sur vos tables Amazon DynamoDB. Il s'agit du volume d'activité de lecture/d'écriture que chaque table peut prendre en charge. DynamoDB utilise ces informations pour réserver des ressources système suffisantes pour répondre à vos exigences de débit. Cette règle génère une alerte lorsque le débit approche de la limite maximale pour le compte d'un client. Cette règle vous permet de définir éventuellement les paramètres AccountRCU (ThresholdPercentage Config Default : 80) et AccountWCU ThresholdPercentage (Config Default : 80). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0051 | Définissez les niveaux appropriés de disponibilité du système selon les fonctions critiques du système et veillez à ce que les exigences du système définissent les exigences appropriées en matière de reprise après sinistre et de continuité des opérations, notamment les exigences en matière de basculement ou de site alternatif, de sauvegarde et de support matériel pour la récupération/restauration du système. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos volumes Amazon Elastic Block Store (Amazon EBS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| T0051 | Définissez les niveaux appropriés de disponibilité du système selon les fonctions critiques du système et veillez à ce que les exigences du système définissent les exigences appropriées en matière de reprise après sinistre et de continuité des opérations, notamment les exigences en matière de basculement ou de site alternatif, de sauvegarde et de support matériel pour la récupération/restauration du système. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon Elastic File System (Amazon EFS) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| T0051 | Définissez les niveaux appropriés de disponibilité du système selon les fonctions critiques du système et veillez à ce que les exigences du système définissent les exigences appropriées en matière de reprise après sinistre et de continuité des opérations, notamment les exigences en matière de basculement ou de site alternatif, de sauvegarde et de support matériel pour la récupération/restauration du système. | Lorsque les sauvegardes automatiques sont activées, Amazon ElastiCache crée une sauvegarde du cluster quotidiennement. La sauvegarde peut être conservée pendant un nombre de jours défini par votre organisation. Les sauvegardes automatiques peuvent constituer une protection contre la perte de données. En cas de défaillance, vous pouvez créer un nouveau cluster, ce qui restaurera vos données à partir de la sauvegarde la plus récente. | |
| T0051 | Définissez les niveaux appropriés de disponibilité du système selon les fonctions critiques du système et veillez à ce que les exigences du système définissent les exigences appropriées en matière de reprise après sinistre et de continuité des opérations, notamment les exigences en matière de basculement ou de site alternatif, de sauvegarde et de support matériel pour la récupération/restauration du système. | Activez l'équilibrage de charge entre zones pour vos équilibreurs de charge Elastic Load Balancing (ELB) afin de maintenir une capacité et une disponibilité adéquates. L'équilibrage de charge entre zones réduit la nécessité de maintenir un nombre équivalent d'instances dans chaque zone de disponibilité activée. Cela améliore également la capacité de votre application à gérer la perte d'une ou de plusieurs instances. | |
| T0051 | Définissez les niveaux appropriés de disponibilité du système selon les fonctions critiques du système et veillez à ce que les exigences du système définissent les exigences appropriées en matière de reprise après sinistre et de continuité des opérations, notamment les exigences en matière de basculement ou de site alternatif, de sauvegarde et de support matériel pour la récupération/restauration du système. | Cette règle garantit que la protection contre la suppression est activée pour Elastic Load Balancing. Utilisez cette fonctionnalité pour empêcher la suppression accidentelle ou malveillante de votre équilibreur de charge, ce qui pourrait entraîner une perte de disponibilité pour vos applications. | |
| T0051 | Définissez les niveaux appropriés de disponibilité du système selon les fonctions critiques du système et veillez à ce que les exigences du système définissent les exigences appropriées en matière de reprise après sinistre et de continuité des opérations, notamment les exigences en matière de basculement ou de site alternatif, de sauvegarde et de support matériel pour la récupération/restauration du système. | Assurez-vous que la protection contre la suppression est activée sur les instances Amazon Relational Database Service (Amazon RDS). Utilisez la protection contre la suppression pour empêcher la suppression accidentelle ou malveillante des instances Amazon RDS, ce qui pourrait entraîner une perte de disponibilité pour vos applications. | |
| T0051 | Définissez les niveaux appropriés de disponibilité du système selon les fonctions critiques du système et veillez à ce que les exigences du système définissent les exigences appropriées en matière de reprise après sinistre et de continuité des opérations, notamment les exigences en matière de basculement ou de site alternatif, de sauvegarde et de support matériel pour la récupération/restauration du système. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos instances Amazon Relational Database Service (Amazon RDS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| T0051 | Définissez les niveaux appropriés de disponibilité du système selon les fonctions critiques du système et veillez à ce que les exigences du système définissent les exigences appropriées en matière de reprise après sinistre et de continuité des opérations, notamment les exigences en matière de basculement ou de site alternatif, de sauvegarde et de support matériel pour la récupération/restauration du système. | La prise en charge multi-AZ dans Amazon Relational Database Service (Amazon RDS) offre une disponibilité et une durabilité améliorées pour les instances de base de données. Lorsque vous mettez en service une instance de base de données multi-AZ, Amazon RDS crée automatiquement une instance de base de données principale et réplique de manière synchrone les données vers une instance de secours dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé. | |
| T0051 | Définissez les niveaux appropriés de disponibilité du système selon les fonctions critiques du système et veillez à ce que les exigences du système définissent les exigences appropriées en matière de reprise après sinistre et de continuité des opérations, notamment les exigences en matière de basculement ou de site alternatif, de sauvegarde et de support matériel pour la récupération/restauration du système. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos clusters Amazon Redshift disposent d'instantanés automatisés. Lorsque les instantanés automatiques sont activés pour un cluster, Redshift prend régulièrement des instantanés de ce cluster. Par défaut, Redshift prend un instantané toutes les huit heures ou tous les 5 Go pour chaque nœud de modification des données, ou selon la première éventualité. | |
| T0051 | Définissez les niveaux appropriés de disponibilité du système selon les fonctions critiques du système et veillez à ce que les exigences du système définissent les exigences appropriées en matière de reprise après sinistre et de continuité des opérations, notamment les exigences en matière de basculement ou de site alternatif, de sauvegarde et de support matériel pour la récupération/restauration du système. | La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données. | |
| T0051 | Définissez les niveaux appropriés de disponibilité du système selon les fonctions critiques du système et veillez à ce que les exigences du système définissent les exigences appropriées en matière de reprise après sinistre et de continuité des opérations, notamment les exigences en matière de basculement ou de site alternatif, de sauvegarde et de support matériel pour la récupération/restauration du système. | La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative. | |
| T0051 | Définissez les niveaux appropriés de disponibilité du système selon les fonctions critiques du système et veillez à ce que les exigences du système définissent les exigences appropriées en matière de reprise après sinistre et de continuité des opérations, notamment les exigences en matière de basculement ou de site alternatif, de sauvegarde et de support matériel pour la récupération/restauration du système. | Des tunnels Site-to-Site VPN redondants peuvent être mis en œuvre pour répondre aux exigences de résilience. Deux tunnels sont utilisés pour garantir la connectivité au cas où l'une des connexions Site-to-Site VPN deviendrait indisponible. Pour bénéficier d'une protection contre la perte de connectivité en cas d'indisponibilité de votre passerelle client, vous pouvez configurer une seconde connexion Site-to-Site VPN vers votre réseau Amazon Virtual Private Cloud (Amazon VPC) et votre passerelle privée virtuelle en ajoutant une seconde passerelle client. | |
| T0051 | Définissez les niveaux appropriés de disponibilité du système selon les fonctions critiques du système et veillez à ce que les exigences du système définissent les exigences appropriées en matière de reprise après sinistre et de continuité des opérations, notamment les exigences en matière de basculement ou de site alternatif, de sauvegarde et de support matériel pour la récupération/restauration du système. | Pour faciliter les processus de sauvegarde des données, assurez-vous que votre plan AWS de sauvegarde est défini pour une fréquence et une rétention minimales. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Cette règle vous permet de définir les paramètres requiredFrequencyValue (Config par défaut : 1), requiredRetentionDays (Config par défaut : 35) et requiredFrequencyUnit (Config par défaut : jours). La valeur réelle doit refléter les exigences de votre organisation. | |
| T0051 | Définissez les niveaux appropriés de disponibilité du système selon les fonctions critiques du système et veillez à ce que les exigences du système définissent les exigences appropriées en matière de reprise après sinistre et de continuité des opérations, notamment les exigences en matière de basculement ou de site alternatif, de sauvegarde et de support matériel pour la récupération/restauration du système. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Elastic Compute Cloud (Amazon EC2) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| T0065 | Élaborez et mettez en œuvre des procédures de sauvegarde et de récupération du réseau. | Pour faciliter les processus de sauvegarde des données, assurez-vous que votre plan AWS de sauvegarde est défini pour une fréquence et une rétention minimales. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Cette règle vous permet de définir les paramètres requiredFrequencyValue (Config par défaut : 1), requiredRetentionDays (Config par défaut : 35) et requiredFrequencyUnit (Config par défaut : jours). La valeur réelle doit refléter les exigences de votre organisation. | |
| T0065 | Élaborez et mettez en œuvre des procédures de sauvegarde et de récupération du réseau. | Assurez-vous que le chiffrement est activé pour vos points AWS de restauration Backup. Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données. | |
| T0065 | Élaborez et mettez en œuvre des procédures de sauvegarde et de récupération du réseau. | Assurez-vous que vos points AWS de restauration Backup sont associés à une politique basée sur les ressources qui empêche la suppression de points de restauration. L'utilisation d'une politique basée sur les ressources pour empêcher la suppression des points de récupération peut aider à empêcher les suppressions accidentelles ou intentionnelles. | |
| T0065 | Élaborez et mettez en œuvre des procédures de sauvegarde et de récupération du réseau. | Amazon DynamoDB Auto Scaling AWS utilise le service Application Auto Scaling pour ajuster la capacité de débit allouée afin de répondre automatiquement aux modèles de trafic réels. Cela permet à une table ou à un index secondaire global d'augmenter sa capacité de lecture/d'écriture approvisionnée afin de gérer les hausses soudaines de trafic sans limitation. | |
| T0065 | Élaborez et mettez en œuvre des procédures de sauvegarde et de récupération du réseau. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos tables Amazon DynamoDB font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| T0065 | Élaborez et mettez en œuvre des procédures de sauvegarde et de récupération du réseau. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos volumes Amazon Elastic Block Store (Amazon EBS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| T0065 | Élaborez et mettez en œuvre des procédures de sauvegarde et de récupération du réseau. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Elastic Compute Cloud (Amazon EC2) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| T0065 | Élaborez et mettez en œuvre des procédures de sauvegarde et de récupération du réseau. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon Elastic File System (Amazon EFS) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| T0065 | Élaborez et mettez en œuvre des procédures de sauvegarde et de récupération du réseau. | Activez l'équilibrage de charge entre zones pour vos équilibreurs de charge Elastic Load Balancing (ELB) afin de maintenir une capacité et une disponibilité adéquates. L'équilibrage de charge entre zones réduit la nécessité de maintenir un nombre équivalent d'instances dans chaque zone de disponibilité activée. Cela améliore également la capacité de votre application à gérer la perte d'une ou de plusieurs instances. | |
| T0065 | Élaborez et mettez en œuvre des procédures de sauvegarde et de récupération du réseau. | Cette règle garantit que la protection contre la suppression est activée pour Elastic Load Balancing. Utilisez cette fonctionnalité pour empêcher la suppression accidentelle ou malveillante de votre équilibreur de charge, ce qui pourrait entraîner une perte de disponibilité pour vos applications. | |
| T0065 | Élaborez et mettez en œuvre des procédures de sauvegarde et de récupération du réseau. | Assurez-vous que la protection contre la suppression est activée sur les instances Amazon Relational Database Service (Amazon RDS). Utilisez la protection contre la suppression pour empêcher la suppression accidentelle ou malveillante des instances Amazon RDS, ce qui pourrait entraîner une perte de disponibilité pour vos applications. | |
| T0065 | Élaborez et mettez en œuvre des procédures de sauvegarde et de récupération du réseau. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos instances Amazon Relational Database Service (Amazon RDS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| T0065 | Élaborez et mettez en œuvre des procédures de sauvegarde et de récupération du réseau. | La prise en charge multi-AZ dans Amazon Relational Database Service (Amazon RDS) offre une disponibilité et une durabilité améliorées pour les instances de base de données. Lorsque vous mettez en service une instance de base de données multi-AZ, Amazon RDS crée automatiquement une instance de base de données principale et réplique de manière synchrone les données vers une instance de secours dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé. | |
| T0065 | Élaborez et mettez en œuvre des procédures de sauvegarde et de récupération du réseau. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos clusters Amazon Redshift disposent d'instantanés automatisés. Lorsque les instantanés automatiques sont activés pour un cluster, Redshift prend régulièrement des instantanés de ce cluster. Par défaut, Redshift prend un instantané toutes les huit heures ou tous les 5 Go pour chaque nœud de modification des données, ou selon la première éventualité. | |
| T0065 | Élaborez et mettez en œuvre des procédures de sauvegarde et de récupération du réseau. | Des tunnels Site-to-Site VPN redondants peuvent être mis en œuvre pour répondre aux exigences de résilience. Deux tunnels sont utilisés pour garantir la connectivité au cas où l'une des connexions Site-to-Site VPN deviendrait indisponible. Pour bénéficier d'une protection contre la perte de connectivité en cas d'indisponibilité de votre passerelle client, vous pouvez configurer une seconde connexion Site-to-Site VPN vers votre réseau Amazon Virtual Private Cloud (Amazon VPC) et votre passerelle privée virtuelle en ajoutant une seconde passerelle client. | |
| T0065 | Élaborez et mettez en œuvre des procédures de sauvegarde et de récupération du réseau. | La fonctionnalité de sauvegarde d'Amazon RDS crée des sauvegardes de vos bases de données et de vos journaux de transactions. Amazon RDS crée automatiquement un instantané du volume de stockage de votre instance de base de données, en sauvegardant l'intégralité de cette dernière. Le système vous permet de définir des périodes de conservation spécifiques pour répondre à vos exigences de résilience. | |
| T0065 | Élaborez et mettez en œuvre des procédures de sauvegarde et de récupération du réseau. | Activez cette règle pour vérifier que les informations ont été sauvegardées. Il gère également les sauvegardes en s'assurant que la point-in-time restauration est activée dans Amazon DynamoDB. La récupération permet de maintenir des sauvegardes continues de votre table pour les 35 derniers jours. | |
| T0065 | Élaborez et mettez en œuvre des procédures de sauvegarde et de récupération du réseau. | Lorsque les sauvegardes automatiques sont activées, Amazon ElastiCache crée une sauvegarde du cluster quotidiennement. La sauvegarde peut être conservée pendant un nombre de jours défini par votre organisation. Les sauvegardes automatiques peuvent constituer une protection contre la perte de données. En cas de défaillance, vous pouvez créer un nouveau cluster, ce qui restaurera vos données à partir de la sauvegarde la plus récente. | |
| T0065 | Élaborez et mettez en œuvre des procédures de sauvegarde et de récupération du réseau. | Cette règle garantit que les clusters Amazon Redshift disposent des paramètres préférés de votre organisation. Plus précisément, qu'ils disposent de fenêtres de maintenance préférées et de périodes de conservation des instantanés automatisées pour la base de données. Cette règle vous oblige à définir le allowVersionUpgrade. Par défaut, la valeur est true. Il vous permet également de définir éventuellement le preferredMaintenanceWindow (la valeur par défaut est samedi : 16h00 - samedi : 16h30) et la automatedSnapshotRetention période (la valeur par défaut est 1). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0065 | Élaborez et mettez en œuvre des procédures de sauvegarde et de récupération du réseau. | La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données. | |
| T0065 | Élaborez et mettez en œuvre des procédures de sauvegarde et de récupération du réseau. | La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative. | |
| T0070 | Élaborez des plans de reprise après sinistre et de continuité des opérations pour les systèmes en cours de développement et veillez à ce qu'ils soient testés avant d'être introduits dans un environnement de production. | Pour faciliter les processus de sauvegarde des données, assurez-vous que votre plan AWS de sauvegarde est défini pour une fréquence et une rétention minimales. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Cette règle vous permet de définir les paramètres requiredFrequencyValue (Config par défaut : 1), requiredRetentionDays (Config par défaut : 35) et requiredFrequencyUnit (Config par défaut : jours). La valeur réelle doit refléter les exigences de votre organisation. | |
| T0070 | Élaborez des plans de reprise après sinistre et de continuité des opérations pour les systèmes en cours de développement et veillez à ce qu'ils soient testés avant d'être introduits dans un environnement de production. | Assurez-vous que le chiffrement est activé pour vos points AWS de restauration Backup. Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données. | |
| T0070 | Élaborez des plans de reprise après sinistre et de continuité des opérations pour les systèmes en cours de développement et veillez à ce qu'ils soient testés avant d'être introduits dans un environnement de production. | Assurez-vous que vos points AWS de restauration Backup sont associés à une politique basée sur les ressources qui empêche la suppression de points de restauration. L'utilisation d'une politique basée sur les ressources pour empêcher la suppression des points de récupération peut aider à empêcher les suppressions accidentelles ou intentionnelles. | |
| T0070 | Élaborez des plans de reprise après sinistre et de continuité des opérations pour les systèmes en cours de développement et veillez à ce qu'ils soient testés avant d'être introduits dans un environnement de production. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos tables Amazon DynamoDB font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| T0070 | Élaborez des plans de reprise après sinistre et de continuité des opérations pour les systèmes en cours de développement et veillez à ce qu'ils soient testés avant d'être introduits dans un environnement de production. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos volumes Amazon Elastic Block Store (Amazon EBS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| T0070 | Élaborez des plans de reprise après sinistre et de continuité des opérations pour les systèmes en cours de développement et veillez à ce qu'ils soient testés avant d'être introduits dans un environnement de production. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Elastic Compute Cloud (Amazon EC2) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| T0070 | Élaborez des plans de reprise après sinistre et de continuité des opérations pour les systèmes en cours de développement et veillez à ce qu'ils soient testés avant d'être introduits dans un environnement de production. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon Elastic File System (Amazon EFS) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| T0070 | Élaborez des plans de reprise après sinistre et de continuité des opérations pour les systèmes en cours de développement et veillez à ce qu'ils soient testés avant d'être introduits dans un environnement de production. | Activez l'équilibrage de charge entre zones pour vos équilibreurs de charge Elastic Load Balancing (ELB) afin de maintenir une capacité et une disponibilité adéquates. L'équilibrage de charge entre zones réduit la nécessité de maintenir un nombre équivalent d'instances dans chaque zone de disponibilité activée. Cela améliore également la capacité de votre application à gérer la perte d'une ou de plusieurs instances. | |
| T0070 | Élaborez des plans de reprise après sinistre et de continuité des opérations pour les systèmes en cours de développement et veillez à ce qu'ils soient testés avant d'être introduits dans un environnement de production. | Assurez-vous que la protection contre la suppression est activée sur les instances Amazon Relational Database Service (Amazon RDS). Utilisez la protection contre la suppression pour empêcher la suppression accidentelle ou malveillante des instances Amazon RDS, ce qui pourrait entraîner une perte de disponibilité pour vos applications. | |
| T0070 | Élaborez des plans de reprise après sinistre et de continuité des opérations pour les systèmes en cours de développement et veillez à ce qu'ils soient testés avant d'être introduits dans un environnement de production. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos instances Amazon Relational Database Service (Amazon RDS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| T0070 | Élaborez des plans de reprise après sinistre et de continuité des opérations pour les systèmes en cours de développement et veillez à ce qu'ils soient testés avant d'être introduits dans un environnement de production. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos clusters Amazon Redshift disposent d'instantanés automatisés. Lorsque les instantanés automatiques sont activés pour un cluster, Redshift prend régulièrement des instantanés de ce cluster. Par défaut, Redshift prend un instantané toutes les huit heures ou tous les 5 Go pour chaque nœud de modification des données, ou selon la première éventualité. | |
| T0070 | Élaborez des plans de reprise après sinistre et de continuité des opérations pour les systèmes en cours de développement et veillez à ce qu'ils soient testés avant d'être introduits dans un environnement de production. | La fonctionnalité de sauvegarde d'Amazon RDS crée des sauvegardes de vos bases de données et de vos journaux de transactions. Amazon RDS crée automatiquement un instantané du volume de stockage de votre instance de base de données, en sauvegardant l'intégralité de cette dernière. Le système vous permet de définir des périodes de conservation spécifiques pour répondre à vos exigences de résilience. | |
| T0070 | Élaborez des plans de reprise après sinistre et de continuité des opérations pour les systèmes en cours de développement et veillez à ce qu'ils soient testés avant d'être introduits dans un environnement de production. | Amazon DynamoDB Auto Scaling AWS utilise le service Application Auto Scaling pour ajuster la capacité de débit allouée afin de répondre automatiquement aux modèles de trafic réels. Cela permet à une table ou à un index secondaire global d'augmenter sa capacité de lecture/d'écriture approvisionnée afin de gérer les hausses soudaines de trafic sans limitation. | |
| T0070 | Élaborez des plans de reprise après sinistre et de continuité des opérations pour les systèmes en cours de développement et veillez à ce qu'ils soient testés avant d'être introduits dans un environnement de production. | Activez cette règle pour vérifier que les informations ont été sauvegardées. Il gère également les sauvegardes en s'assurant que la point-in-time restauration est activée dans Amazon DynamoDB. La récupération permet de maintenir des sauvegardes continues de votre table pour les 35 derniers jours. | |
| T0070 | Élaborez des plans de reprise après sinistre et de continuité des opérations pour les systèmes en cours de développement et veillez à ce qu'ils soient testés avant d'être introduits dans un environnement de production. | Lorsque les sauvegardes automatiques sont activées, Amazon ElastiCache crée une sauvegarde du cluster quotidiennement. La sauvegarde peut être conservée pendant un nombre de jours défini par votre organisation. Les sauvegardes automatiques peuvent constituer une protection contre la perte de données. En cas de défaillance, vous pouvez créer un nouveau cluster, ce qui restaurera vos données à partir de la sauvegarde la plus récente. | |
| T0070 | Élaborez des plans de reprise après sinistre et de continuité des opérations pour les systèmes en cours de développement et veillez à ce qu'ils soient testés avant d'être introduits dans un environnement de production. | Cette règle garantit que la protection contre la suppression est activée pour Elastic Load Balancing. Utilisez cette fonctionnalité pour empêcher la suppression accidentelle ou malveillante de votre équilibreur de charge, ce qui pourrait entraîner une perte de disponibilité pour vos applications. | |
| T0070 | Élaborez des plans de reprise après sinistre et de continuité des opérations pour les systèmes en cours de développement et veillez à ce qu'ils soient testés avant d'être introduits dans un environnement de production. | La prise en charge multi-AZ dans Amazon Relational Database Service (Amazon RDS) offre une disponibilité et une durabilité améliorées pour les instances de base de données. Lorsque vous mettez en service une instance de base de données multi-AZ, Amazon RDS crée automatiquement une instance de base de données principale et réplique de manière synchrone les données vers une instance de secours dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé. | |
| T0070 | Élaborez des plans de reprise après sinistre et de continuité des opérations pour les systèmes en cours de développement et veillez à ce qu'ils soient testés avant d'être introduits dans un environnement de production. | La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données. | |
| T0070 | Élaborez des plans de reprise après sinistre et de continuité des opérations pour les systèmes en cours de développement et veillez à ce qu'ils soient testés avant d'être introduits dans un environnement de production. | La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative. | |
| T0070 | Élaborez des plans de reprise après sinistre et de continuité des opérations pour les systèmes en cours de développement et veillez à ce qu'ils soient testés avant d'être introduits dans un environnement de production. | Des tunnels Site-to-Site VPN redondants peuvent être mis en œuvre pour répondre aux exigences de résilience. Deux tunnels sont utilisés pour garantir la connectivité au cas où l'une des connexions Site-to-Site VPN deviendrait indisponible. Pour bénéficier d'une protection contre la perte de connectivité en cas d'indisponibilité de votre passerelle client, vous pouvez configurer une seconde connexion Site-to-Site VPN vers votre réseau Amazon Virtual Private Cloud (Amazon VPC) et votre passerelle privée virtuelle en ajoutant une seconde passerelle client. | |
| T0086 | Assurez-vous que l'application des correctifs de sécurité pour les produits commerciaux intégrés dans la conception du système respecte les délais prescrits par l'autorité de gestion pour l'environnement opérationnel prévu. | Activez les mises à niveau automatiques des versions mineures sur vos instances Amazon Relational Database Service (RDS) pour vous assurer que les dernières mises à jour mineures du système de gestion de base de données relationnelle (RDBMS) sont installées, lesquelles peuvent inclure des correctifs de sécurité et des correctifs de bogues. | |
| T0086 | Assurez-vous que l'application des correctifs de sécurité pour les produits commerciaux intégrés dans la conception du système respecte les délais prescrits par l'autorité de gestion pour l'environnement opérationnel prévu. | Activez cette règle pour faciliter l'identification et la documentation des vulnérabilités d'Amazon Elastic Compute Cloud (Amazon EC2). La règle vérifie si les correctifs d'instance Amazon EC2 sont conformes dans AWS Systems Manager conformément aux politiques et procédures de votre entreprise. | |
| T0086 | Assurez-vous que l'application des correctifs de sécurité pour les produits commerciaux intégrés dans la conception du système respecte les délais prescrits par l'autorité de gestion pour l'environnement opérationnel prévu. | L'activation des mises à jour de plateforme gérées pour un environnement Amazon Elastic Beanstalk garantit l'installation des derniers correctifs, mises à jour et fonctionnalités de la plateforme disponibles pour l'environnement. La sécurisation des systèmes passe par la mise à jour de l'installation des correctifs. | |
| T0086 | Assurez-vous que l'application des correctifs de sécurité pour les produits commerciaux intégrés dans la conception du système respecte les délais prescrits par l'autorité de gestion pour l'environnement opérationnel prévu. | Cette règle garantit que les clusters Amazon Redshift disposent des paramètres préférés de votre organisation. Plus précisément, qu'ils disposent de fenêtres de maintenance préférées et de périodes de conservation des instantanés automatisées pour la base de données. Cette règle vous oblige à définir le allowVersionUpgrade. Par défaut, la valeur est true. Il vous permet également de définir éventuellement le preferredMaintenanceWindow (la valeur par défaut est samedi : 16h00 - samedi : 16h30) et la automatedSnapshotRetention période (la valeur par défaut est 1). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0110 | Identifiez et/ou déterminez si un incident de sécurité constitue une violation de la loi nécessitant une action juridique spécifique. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| T0110 | Identifiez et/ou déterminez si un incident de sécurité constitue une violation de la loi nécessitant une action juridique spécifique. | Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement. | |
| T0110 | Identifiez et/ou déterminez si un incident de sécurité constitue une violation de la loi nécessitant une action juridique spécifique. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| T0128 | Intégrez des capacités automatisées de mise à jour ou de correction des logiciels du système lorsque cela est possible et élaborez des processus et des procédures pour la mise à jour et la correction manuelles des logiciels du système en fonction des exigences actuelles et prévues en matière de délais de correction pour l'environnement opérationnel du système. | Activez les mises à niveau automatiques des versions mineures sur vos instances Amazon Relational Database Service (RDS) pour vous assurer que les dernières mises à jour mineures du système de gestion de base de données relationnelle (RDBMS) sont installées, lesquelles peuvent inclure des correctifs de sécurité et des correctifs de bogues. | |
| T0128 | Intégrez des capacités automatisées de mise à jour ou de correction des logiciels du système lorsque cela est possible et élaborez des processus et des procédures pour la mise à jour et la correction manuelles des logiciels du système en fonction des exigences actuelles et prévues en matière de délais de correction pour l'environnement opérationnel du système. | Activez cette règle pour faciliter l'identification et la documentation des vulnérabilités d'Amazon Elastic Compute Cloud (Amazon EC2). La règle vérifie si les correctifs d'instance Amazon EC2 sont conformes dans AWS Systems Manager conformément aux politiques et procédures de votre entreprise. | |
| T0128 | Intégrez des capacités automatisées de mise à jour ou de correction des logiciels du système lorsque cela est possible et élaborez des processus et des procédures pour la mise à jour et la correction manuelles des logiciels du système en fonction des exigences actuelles et prévues en matière de délais de correction pour l'environnement opérationnel du système. | L'activation des mises à jour de plateforme gérées pour un environnement Amazon Elastic Beanstalk garantit l'installation des derniers correctifs, mises à jour et fonctionnalités de la plateforme disponibles pour l'environnement. La sécurisation des systèmes passe par la mise à jour de l'installation des correctifs. | |
| T0128 | Intégrez des capacités automatisées de mise à jour ou de correction des logiciels du système lorsque cela est possible et élaborez des processus et des procédures pour la mise à jour et la correction manuelles des logiciels du système en fonction des exigences actuelles et prévues en matière de délais de correction pour l'environnement opérationnel du système. | Cette règle garantit que les clusters Amazon Redshift disposent des paramètres préférés de votre organisation. Plus précisément, qu'ils disposent de fenêtres de maintenance préférées et de périodes de conservation des instantanés automatisées pour la base de données. Cette règle vous oblige à définir le allowVersionUpgrade. Par défaut, la valeur est true. Il vous permet également de définir éventuellement le preferredMaintenanceWindow (la valeur par défaut est samedi : 16h00 - samedi : 16h30) et la automatedSnapshotRetention période (la valeur par défaut est 1). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | La gestion centralisée Comptes AWS au sein des AWS Organisations permet de garantir la conformité des comptes. L'absence de gouvernance centralisée des comptes peut entraîner des configurations de comptes incohérentes, ce qui peut exposer des ressources et des données sensibles. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | Assurez-vous que AWS le WAF est activé sur les Elastic Load Balancers (ELB) pour protéger les applications Web. Un WAF aide à protéger vos applications Web ou API contre les menaces Web courantes. Ces attaques web peuvent affecter la disponibilité, compromettre la sécurité ou consommer des ressources excessives dans votre environnement. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | AWS Le WAF vous permet de configurer un ensemble de règles (appelé liste de contrôle d'accès Web (ACL Web)) qui autorisent, bloquent ou comptent les requêtes Web en fonction de règles et de conditions de sécurité Web personnalisables que vous définissez. Assurez-vous que votre étape Amazon API Gateway est associée à une liste ACL Web WAF pour la protéger contre les attaques malveillantes | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | Les profils d'instance EC2 transmettent un rôle IAM à une instance EC2. L'association d'un profil d'instance à vos instances peut faciliter la gestion du moindre privilège et des autorisations. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | Assurez-vous que les tables de routage Amazon EC2 ne disposent pas de routes illimitées vers une passerelle Internet. La suppression ou la limitation de l'accès à Internet pour les charges de travail au sein des réseaux Amazon VPC peut réduire les accès imprévus au sein de votre environnement. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | Le routage VPC amélioré oblige tout le trafic COPY et UNLOAD entre le cluster et les référentiels de données à passer par votre réseau Amazon VPC. Vous pouvez ensuite utiliser les fonctionnalités VPC, telles que les groupes de sécurité et les listes de contrôle d'accès réseau, pour sécuriser le trafic réseau. Vous pouvez également utiliser les journaux de flux VPC pour surveiller le trafic réseau. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | Les informations d'identification sont auditées pour les appareils, les utilisateurs et les processus autorisés en veillant à ce que les clés d'accès IAM soient alternées conformément à la politique de l'organisation. La modification régulière des clés d'accès est une bonne pratique de sécurité. Cela permet de raccourcir la période pendant laquelle une clé d'accès est active et de réduire l'impact commercial en cas de compromission des clés. Cette règle nécessite une valeur de rotation des clés d'accès (configuration par défaut : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | Activez cette règle pour limiter l'accès aux ressources dans le Cloud AWS . Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon Elasticsearch Service (Amazon ES) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon ES au sein d'un réseau Amazon VPC permet une communication sécurisée entre Amazon ES et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | Cette règle garantit que la rotation AWS des secrets de Secrets Manager est activée. La rotation régulière des secrets peut raccourcir la période pendant laquelle un secret est actif et potentiellement réduire l'impact commercial s'il est compromis. | |
| T0144 | Gérez les comptes, les droits réseau et l'accès aux systèmes et aux équipements. | Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale. | |
| T0151 | Surveillez et évaluez l'efficacité des mesures de protection de l'entreprise en matière de cybersécurité afin de vous assurer qu'elles offrent le niveau de protection voulu. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| T0151 | Surveillez et évaluez l'efficacité des mesures de protection de l'entreprise en matière de cybersécurité afin de vous assurer qu'elles offrent le niveau de protection voulu. | Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement. | |
| T0151 | Surveillez et évaluez l'efficacité des mesures de protection de l'entreprise en matière de cybersécurité afin de vous assurer qu'elles offrent le niveau de protection voulu. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| T0152 | Surveillez et gérez les bases de données afin de garantir des performances optimales. | La fonctionnalité de sauvegarde d'Amazon RDS crée des sauvegardes de vos bases de données et de vos journaux de transactions. Amazon RDS crée automatiquement un instantané du volume de stockage de votre instance de base de données, en sauvegardant l'intégralité de cette dernière. Le système vous permet de définir des périodes de conservation spécifiques pour répondre à vos exigences de résilience. | |
| T0152 | Surveillez et gérez les bases de données afin de garantir des performances optimales. | Amazon DynamoDB Auto Scaling AWS utilise le service Application Auto Scaling pour ajuster la capacité de débit allouée afin de répondre automatiquement aux modèles de trafic réels. Cela permet à une table ou à un index secondaire global d'augmenter sa capacité de lecture/d'écriture approvisionnée afin de gérer les hausses soudaines de trafic sans limitation. | |
| T0152 | Surveillez et gérez les bases de données afin de garantir des performances optimales. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos tables Amazon DynamoDB font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| T0152 | Surveillez et gérez les bases de données afin de garantir des performances optimales. | Activez cette règle pour vérifier que les informations ont été sauvegardées. Il gère également les sauvegardes en s'assurant que la point-in-time restauration est activée dans Amazon DynamoDB. La récupération permet de maintenir des sauvegardes continues de votre table pour les 35 derniers jours. | |
| T0152 | Surveillez et gérez les bases de données afin de garantir des performances optimales. | Activez cette règle pour vous assurer que la capacité de débit allouée est vérifiée sur vos tables Amazon DynamoDB. Il s'agit du volume d'activité de lecture/d'écriture que chaque table peut prendre en charge. DynamoDB utilise ces informations pour réserver des ressources système suffisantes pour répondre à vos exigences de débit. Cette règle génère une alerte lorsque le débit approche de la limite maximale pour le compte d'un client. Cette règle vous permet de définir éventuellement les paramètres AccountRCU (ThresholdPercentage Config Default : 80) et AccountWCU ThresholdPercentage (Config Default : 80). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0152 | Surveillez et gérez les bases de données afin de garantir des performances optimales. | Activez les mises à niveau automatiques des versions mineures sur vos instances Amazon Relational Database Service (RDS) pour vous assurer que les dernières mises à jour mineures du système de gestion de base de données relationnelle (RDBMS) sont installées, lesquelles peuvent inclure des correctifs de sécurité et des correctifs de bogues. | |
| T0152 | Surveillez et gérez les bases de données afin de garantir des performances optimales. | Activez Amazon Relational Database Service (Amazon RDS) pour surveiller la disponibilité d'Amazon RDS. Vous disposez ainsi d'une visibilité détaillée sur l'état de vos instances de base de données Amazon RDS. Lorsque le stockage Amazon RDS utilise plusieurs appareils physiques sous-jacents, Enhanced Monitoring collecte les données pour chaque appareil. En outre, lorsque l'instance de base de données Amazon RDS est exécutée dans le cadre d'un déploiement multi-AZ, les données de chaque appareil sur l'hôte secondaire sont collectées, ainsi que les métriques de l'hôte secondaire. | |
| T0152 | Surveillez et gérez les bases de données afin de garantir des performances optimales. | Assurez-vous que la protection contre la suppression est activée sur les instances Amazon Relational Database Service (Amazon RDS). Utilisez la protection contre la suppression pour empêcher la suppression accidentelle ou malveillante des instances Amazon RDS, ce qui pourrait entraîner une perte de disponibilité pour vos applications. | |
| T0152 | Surveillez et gérez les bases de données afin de garantir des performances optimales. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| T0152 | Surveillez et gérez les bases de données afin de garantir des performances optimales. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos instances Amazon Relational Database Service (Amazon RDS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| T0152 | Surveillez et gérez les bases de données afin de garantir des performances optimales. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
| T0152 | Surveillez et gérez les bases de données afin de garantir des performances optimales. | La prise en charge multi-AZ dans Amazon Relational Database Service (Amazon RDS) offre une disponibilité et une durabilité améliorées pour les instances de base de données. Lorsque vous mettez en service une instance de base de données multi-AZ, Amazon RDS crée automatiquement une instance de base de données principale et réplique de manière synchrone les données vers une instance de secours dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé. | |
| T0152 | Surveillez et gérez les bases de données afin de garantir des performances optimales. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| T0152 | Surveillez et gérez les bases de données afin de garantir des performances optimales. | Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données. | |
| T0152 | Surveillez et gérez les bases de données afin de garantir des performances optimales. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos dans les instances Amazon RDS, activez le chiffrement au repos pour protéger ces données. | |
| T0152 | Surveillez et gérez les bases de données afin de garantir des performances optimales. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos clusters Amazon Redshift disposent d'instantanés automatisés. Lorsque les instantanés automatiques sont activés pour un cluster, Redshift prend régulièrement des instantanés de ce cluster. Par défaut, Redshift prend un instantané toutes les huit heures ou tous les 5 Go pour chaque nœud de modification des données, ou selon la première éventualité. | |
| T0152 | Surveillez et gérez les bases de données afin de garantir des performances optimales. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0152 | Surveillez et gérez les bases de données afin de garantir des performances optimales. | Cette règle garantit que les clusters Amazon Redshift disposent des paramètres préférés de votre organisation. Plus précisément, qu'ils disposent de fenêtres de maintenance préférées et de périodes de conservation des instantanés automatisées pour la base de données. Cette règle vous oblige à définir le allowVersionUpgrade. Par défaut, la valeur est true. Il vous permet également de définir éventuellement le preferredMaintenanceWindow (la valeur par défaut est samedi : 16h00 - samedi : 16h30) et la automatedSnapshotRetention période (la valeur par défaut est 1). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0152 | Surveillez et gérez les bases de données afin de garantir des performances optimales. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| T0152 | Surveillez et gérez les bases de données afin de garantir des performances optimales. | Le routage VPC amélioré oblige tout le trafic COPY et UNLOAD entre le cluster et les référentiels de données à passer par votre réseau Amazon VPC. Vous pouvez ensuite utiliser les fonctionnalités VPC, telles que les groupes de sécurité et les listes de contrôle d'accès réseau, pour sécuriser le trafic réseau. Vous pouvez également utiliser les journaux de flux VPC pour surveiller le trafic réseau. | |
| T0152 | Surveillez et gérez les bases de données afin de garantir des performances optimales. | Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| T0152 | Surveillez et gérez les bases de données afin de garantir des performances optimales. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre cluster Amazon Redshift. Comme il peut y avoir des données sensibles au repos dans les clusters Redshift, activez le chiffrement au repos pour protéger ces données. | |
| T0153 | Surveillez la capacité et les performances du réseau. | La surveillance de l'état Elastic Load Balancer (ELB) pour les groupes Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) permet de maintenir une capacité et une disponibilité adéquates. L'équilibreur de charge envoie périodiquement des pings, effectue des tentatives de connexion ou adresse des demandes pour tester l'état des instances Amazon EC2 dans un groupe Auto Scaling. Si une instance ne renvoie pas de rapport, le trafic est envoyé à une nouvelle instance Amazon EC2. | |
| T0153 | Surveillez la capacité et les performances du réseau. | Activez cette règle pour vous assurer que la capacité de débit allouée est vérifiée sur vos tables Amazon DynamoDB. Il s'agit du volume d'activité de lecture/d'écriture que chaque table peut prendre en charge. DynamoDB utilise ces informations pour réserver des ressources système suffisantes pour répondre à vos exigences de débit. Cette règle génère une alerte lorsque le débit approche de la limite maximale pour le compte d'un client. Cette règle vous permet de définir éventuellement les paramètres AccountRCU (ThresholdPercentage Config Default : 80) et AccountWCU ThresholdPercentage (Config Default : 80). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0153 | Surveillez la capacité et les performances du réseau. | Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole. | |
| T0153 | Surveillez la capacité et les performances du réseau. | Des tunnels Site-to-Site VPN redondants peuvent être mis en œuvre pour répondre aux exigences de résilience. Deux tunnels sont utilisés pour garantir la connectivité au cas où l'une des connexions Site-to-Site VPN deviendrait indisponible. Pour bénéficier d'une protection contre la perte de connectivité en cas d'indisponibilité de votre passerelle client, vous pouvez configurer une seconde connexion Site-to-Site VPN vers votre réseau Amazon Virtual Private Cloud (Amazon VPC) et votre passerelle privée virtuelle en ajoutant une seconde passerelle client. | |
| T0154 | Surveillez et signalez l'utilisation des actifs et des ressources de gestion des connaissances. | Assurez-vous que la durée minimale de conservation des données des journaux d'événements pour vos groupes de journaux est suffisante pour faciliter le dépannage et les enquêtes judiciaires. Le manque de données disponibles dans les journaux d'événements passés complique la reconstitution et l'identification des événements potentiellement malveillants. | |
| T0154 | Surveillez et signalez l'utilisation des actifs et des ressources de gestion des connaissances. | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| T0154 | Surveillez et signalez l'utilisation des actifs et des ressources de gestion des connaissances. | Cette règle assure que les limites de simultanéité élevées et basses d'une fonction Lambda ont été définies. Elle permet de référencer le nombre de demandes auxquelles votre fonction répond à un moment donné. | |
| T0154 | Surveillez et signalez l'utilisation des actifs et des ressources de gestion des connaissances. | Activez cette règle pour notifier le personnel concerné par l'intermédiaire d'Amazon Simple Queue Service (Amazon SQS) ou d'Amazon Simple Notification Service (Amazon SNS) en cas d'échec d'une fonction. | |
| T0154 | Surveillez et signalez l'utilisation des actifs et des ressources de gestion des connaissances. | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
| T0154 | Surveillez et signalez l'utilisation des actifs et des ressources de gestion des connaissances. | Activez Amazon Relational Database Service (Amazon RDS) pour surveiller la disponibilité d'Amazon RDS. Vous disposez ainsi d'une visibilité détaillée sur l'état de vos instances de base de données Amazon RDS. Lorsque le stockage Amazon RDS utilise plusieurs appareils physiques sous-jacents, Enhanced Monitoring collecte les données pour chaque appareil. En outre, lorsque l'instance de base de données Amazon RDS est exécutée dans le cadre d'un déploiement multi-AZ, les données de chaque appareil sur l'hôte secondaire sont collectées, ainsi que les métriques de l'hôte secondaire. | |
| T0154 | Surveillez et signalez l'utilisation des actifs et des ressources de gestion des connaissances. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
| T0154 | Surveillez et signalez l'utilisation des actifs et des ressources de gestion des connaissances. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| T0154 | Surveillez et signalez l'utilisation des actifs et des ressources de gestion des connaissances. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait. | |
| T0154 | Surveillez et signalez l'utilisation des actifs et des ressources de gestion des connaissances. | La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs. | |
| T0154 | Surveillez et signalez l'utilisation des actifs et des ressources de gestion des connaissances. | La surveillance de l'état Elastic Load Balancer (ELB) pour les groupes Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) permet de maintenir une capacité et une disponibilité adéquates. L'équilibreur de charge envoie périodiquement des pings, effectue des tentatives de connexion ou adresse des demandes pour tester l'état des instances Amazon EC2 dans un groupe Auto Scaling. Si une instance ne renvoie pas de rapport, le trafic est envoyé à une nouvelle instance Amazon EC2. | |
| T0154 | Surveillez et signalez l'utilisation des actifs et des ressources de gestion des connaissances. | AWS Les rapports de santé améliorés d'Elastic Beanstalk permettent de réagir plus rapidement aux modifications de l'état de santé de l'infrastructure sous-jacente. Ces modifications peuvent entraîner un manque de disponibilité de l'application. Les rapports d'état améliorés Elastic Beanstalk fournissent un descripteur d'état permettant d'évaluer la gravité des problèmes identifiés et d'identifier les causes possibles à étudier. | |
| T0154 | Surveillez et signalez l'utilisation des actifs et des ressources de gestion des connaissances. | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS. | |
| T0154 | Surveillez et signalez l'utilisation des actifs et des ressources de gestion des connaissances. | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
| T0154 | Surveillez et signalez l'utilisation des actifs et des ressources de gestion des connaissances. | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du compte AWS qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
| T0154 | Surveillez et signalez l'utilisation des actifs et des ressources de gestion des connaissances. | Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement. | |
| T0154 | Surveillez et signalez l'utilisation des actifs et des ressources de gestion des connaissances. | Activez cette règle pour vous assurer que la capacité de débit allouée est vérifiée sur vos tables Amazon DynamoDB. Il s'agit du volume d'activité de lecture/d'écriture que chaque table peut prendre en charge. DynamoDB utilise ces informations pour réserver des ressources système suffisantes pour répondre à vos exigences de débit. Cette règle génère une alerte lorsque le débit approche de la limite maximale pour le compte d'un client. Cette règle vous permet de définir éventuellement les paramètres AccountRCU (ThresholdPercentage Config Default : 80) et AccountWCU ThresholdPercentage (Config Default : 80). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0154 | Surveillez et signalez l'utilisation des actifs et des ressources de gestion des connaissances. | Activez cette règle pour améliorer la surveillance des instances Amazon Elastic Compute Cloud (Amazon EC2) sur la console Amazon EC2, qui affiche des graphiques de surveillance toutes les minutes pour l'instance. | |
| T0154 | Surveillez et signalez l'utilisation des actifs et des ressources de gestion des connaissances. | L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. | |
| T0154 | Surveillez et signalez l'utilisation des actifs et des ressources de gestion des connaissances. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| T0154 | Surveillez et signalez l'utilisation des actifs et des ressources de gestion des connaissances. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0154 | Surveillez et signalez l'utilisation des actifs et des ressources de gestion des connaissances. | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
| T0154 | Surveillez et signalez l'utilisation des actifs et des ressources de gestion des connaissances. | Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole. | |
| T0156 | Supervisez la gestion de la configuration et formulez des recommandations à ce sujet. | La gestion centralisée Comptes AWS au sein des AWS Organisations permet de garantir la conformité des comptes. L'absence de gouvernance centralisée des comptes peut entraîner des configurations de comptes incohérentes, ce qui peut exposer des ressources et des données sensibles. | |
| T0156 | Supervisez la gestion de la configuration et formulez des recommandations à ce sujet. | Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement. | |
| T0156 | Supervisez la gestion de la configuration et formulez des recommandations à ce sujet. | Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des références pour les niveaux de correctifs du système d'exploitation, les installations logicielles, les configurations d'application et d'autres informations relatives à votre environnement. | |
| T0156 | Supervisez la gestion de la configuration et formulez des recommandations à ce sujet. | Activez cette règle pour faciliter l'identification et la documentation des vulnérabilités d'Amazon Elastic Compute Cloud (Amazon EC2). La règle vérifie si les correctifs d'instance Amazon EC2 sont conformes dans AWS Systems Manager conformément aux politiques et procédures de votre entreprise. | |
| T0156 | Supervisez la gestion de la configuration et formulez des recommandations à ce sujet. | Cette règle garantit que les clusters Amazon Redshift disposent des paramètres préférés de votre organisation. Plus précisément, qu'ils disposent de fenêtres de maintenance préférées et de périodes de conservation des instantanés automatisées pour la base de données. Cette règle vous oblige à définir le allowVersionUpgrade. Par défaut, la valeur est true. Il vous permet également de définir éventuellement le preferredMaintenanceWindow (la valeur par défaut est samedi : 16h00 - samedi : 16h30) et la automatedSnapshotRetention période (la valeur par défaut est 1). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0156 | Supervisez la gestion de la configuration et formulez des recommandations à ce sujet. | L'activation des mises à jour de plateforme gérées pour un environnement Amazon Elastic Beanstalk garantit l'installation des derniers correctifs, mises à jour et fonctionnalités de la plateforme disponibles pour l'environnement. La sécurisation des systèmes passe par la mise à jour de l'installation des correctifs. | |
| T0156 | Supervisez la gestion de la configuration et formulez des recommandations à ce sujet. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0156 | Supervisez la gestion de la configuration et formulez des recommandations à ce sujet. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
| T0156 | Supervisez la gestion de la configuration et formulez des recommandations à ce sujet. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
| T0160 | Corrigez les vulnérabilités du réseau afin de garantir la protection des informations contre des tiers. | Activez les mises à niveau automatiques des versions mineures sur vos instances Amazon Relational Database Service (RDS) pour vous assurer que les dernières mises à jour mineures du système de gestion de base de données relationnelle (RDBMS) sont installées, lesquelles peuvent inclure des correctifs de sécurité et des correctifs de bogues. | |
| T0160 | Corrigez les vulnérabilités du réseau afin de garantir la protection des informations contre des tiers. | Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des références pour les niveaux de correctifs du système d'exploitation, les installations logicielles, les configurations d'application et d'autres informations relatives à votre environnement. | |
| T0160 | Corrigez les vulnérabilités du réseau afin de garantir la protection des informations contre des tiers. | Activez cette règle pour faciliter l'identification et la documentation des vulnérabilités d'Amazon Elastic Compute Cloud (Amazon EC2). La règle vérifie si les correctifs d'instance Amazon EC2 sont conformes dans AWS Systems Manager conformément aux politiques et procédures de votre entreprise. | |
| T0162 | Effectuez la sauvegarde et la restauration des bases de données pour garantir l'intégrité des données. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos tables Amazon DynamoDB font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| T0162 | Effectuez la sauvegarde et la restauration des bases de données pour garantir l'intégrité des données. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos volumes Amazon Elastic Block Store (Amazon EBS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| T0162 | Effectuez la sauvegarde et la restauration des bases de données pour garantir l'intégrité des données. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon Elastic File System (Amazon EFS) font partie d'un plan de AWS sauvegarde. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| T0162 | Effectuez la sauvegarde et la restauration des bases de données pour garantir l'intégrité des données. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos instances Amazon Relational Database Service (Amazon RDS) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| T0162 | Effectuez la sauvegarde et la restauration des bases de données pour garantir l'intégrité des données. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos clusters Amazon Redshift disposent d'instantanés automatisés. Lorsque les instantanés automatiques sont activés pour un cluster, Redshift prend régulièrement des instantanés de ce cluster. Par défaut, Redshift prend un instantané toutes les huit heures ou tous les 5 Go pour chaque nœud de modification des données, ou selon la première éventualité. | |
| T0162 | Effectuez la sauvegarde et la restauration des bases de données pour garantir l'intégrité des données. | Pour faciliter les processus de sauvegarde des données, assurez-vous que votre plan AWS de sauvegarde est défini pour une fréquence et une rétention minimales. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Cette règle vous permet de définir les paramètres requiredFrequencyValue (Config par défaut : 1), requiredRetentionDays (Config par défaut : 35) et requiredFrequencyUnit (Config par défaut : jours). La valeur réelle doit refléter les exigences de votre organisation. | |
| T0162 | Effectuez la sauvegarde et la restauration des bases de données pour garantir l'intégrité des données. | Assurez-vous que le chiffrement est activé pour vos points AWS de restauration Backup. Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données. | |
| T0162 | Effectuez la sauvegarde et la restauration des bases de données pour garantir l'intégrité des données. | Assurez-vous que vos points AWS de restauration Backup sont associés à une politique basée sur les ressources qui empêche la suppression de points de restauration. L'utilisation d'une politique basée sur les ressources pour empêcher la suppression des points de récupération peut aider à empêcher les suppressions accidentelles ou intentionnelles. | |
| T0162 | Effectuez la sauvegarde et la restauration des bases de données pour garantir l'intégrité des données. | La fonctionnalité de sauvegarde d'Amazon RDS crée des sauvegardes de vos bases de données et de vos journaux de transactions. Amazon RDS crée automatiquement un instantané du volume de stockage de votre instance de base de données, en sauvegardant l'intégralité de cette dernière. Le système vous permet de définir des périodes de conservation spécifiques pour répondre à vos exigences de résilience. | |
| T0162 | Effectuez la sauvegarde et la restauration des bases de données pour garantir l'intégrité des données. | Activez cette règle pour vérifier que les informations ont été sauvegardées. Il gère également les sauvegardes en s'assurant que la point-in-time restauration est activée dans Amazon DynamoDB. La récupération permet de maintenir des sauvegardes continues de votre table pour les 35 derniers jours. | |
| T0162 | Effectuez la sauvegarde et la restauration des bases de données pour garantir l'intégrité des données. | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos ressources Amazon Elastic Compute Cloud (Amazon EC2) font partie d'un plan de sauvegarde. AWS AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. | |
| T0162 | Effectuez la sauvegarde et la restauration des bases de données pour garantir l'intégrité des données. | Lorsque les sauvegardes automatiques sont activées, Amazon ElastiCache crée une sauvegarde du cluster quotidiennement. La sauvegarde peut être conservée pendant un nombre de jours défini par votre organisation. Les sauvegardes automatiques peuvent constituer une protection contre la perte de données. En cas de défaillance, vous pouvez créer un nouveau cluster, ce qui restaurera vos données à partir de la sauvegarde la plus récente. | |
| T0162 | Effectuez la sauvegarde et la restauration des bases de données pour garantir l'intégrité des données. | Cette règle garantit que les clusters Amazon Redshift disposent des paramètres préférés de votre organisation. Plus précisément, qu'ils disposent de fenêtres de maintenance préférées et de périodes de conservation des instantanés automatisées pour la base de données. Cette règle vous oblige à définir le allowVersionUpgrade. Par défaut, la valeur est true. Il vous permet également de définir éventuellement le preferredMaintenanceWindow (la valeur par défaut est samedi : 16h00 - samedi : 16h30) et la automatedSnapshotRetention période (la valeur par défaut est 1). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0162 | Effectuez la sauvegarde et la restauration des bases de données pour garantir l'intégrité des données. | La réplication entre régions (CRR) Amazon Simple Storage Service (Amazon S3) facilite le maintien d'une capacité et d'une disponibilité adéquates. La CRR permet la copie automatique et asynchrone d'objets entre les compartiments Amazon S3 afin de garantir le maintien de la disponibilité des données. | |
| T0162 | Effectuez la sauvegarde et la restauration des bases de données pour garantir l'intégrité des données. | La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative. | |
| T0166 | Mettez en corrélation les événements à l'aide d'informations recueillies auprès de diverses sources au sein de l'entreprise afin d'obtenir une meilleure visibilité de la situation et de déterminer l'efficacité d'une attaque observée. | Assurez-vous que la durée minimale de conservation des données des journaux d'événements pour vos groupes de journaux est suffisante pour faciliter le dépannage et les enquêtes judiciaires. Le manque de données disponibles dans les journaux d'événements passés complique la reconstitution et l'identification des événements potentiellement malveillants. | |
| T0166 | Mettez en corrélation les événements à l'aide d'informations recueillies auprès de diverses sources au sein de l'entreprise afin d'obtenir une meilleure visibilité de la situation et de déterminer l'efficacité d'une attaque observée. | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| T0166 | Mettez en corrélation les événements à l'aide d'informations recueillies auprès de diverses sources au sein de l'entreprise afin d'obtenir une meilleure visibilité de la situation et de déterminer l'efficacité d'une attaque observée. | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
| T0166 | Mettez en corrélation les événements à l'aide d'informations recueillies auprès de diverses sources au sein de l'entreprise afin d'obtenir une meilleure visibilité de la situation et de déterminer l'efficacité d'une attaque observée. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait. | |
| T0166 | Mettez en corrélation les événements à l'aide d'informations recueillies auprès de diverses sources au sein de l'entreprise afin d'obtenir une meilleure visibilité de la situation et de déterminer l'efficacité d'une attaque observée. | La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs. | |
| T0166 | Mettez en corrélation les événements à l'aide d'informations recueillies auprès de diverses sources au sein de l'entreprise afin d'obtenir une meilleure visibilité de la situation et de déterminer l'efficacité d'une attaque observée. | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS. | |
| T0166 | Mettez en corrélation les événements à l'aide d'informations recueillies auprès de diverses sources au sein de l'entreprise afin d'obtenir une meilleure visibilité de la situation et de déterminer l'efficacité d'une attaque observée. | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
| T0166 | Mettez en corrélation les événements à l'aide d'informations recueillies auprès de diverses sources au sein de l'entreprise afin d'obtenir une meilleure visibilité de la situation et de déterminer l'efficacité d'une attaque observée. | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du compte AWS qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
| T0166 | Mettez en corrélation les événements à l'aide d'informations recueillies auprès de diverses sources au sein de l'entreprise afin d'obtenir une meilleure visibilité de la situation et de déterminer l'efficacité d'une attaque observée. | L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. | |
| T0166 | Mettez en corrélation les événements à l'aide d'informations recueillies auprès de diverses sources au sein de l'entreprise afin d'obtenir une meilleure visibilité de la situation et de déterminer l'efficacité d'une attaque observée. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
| T0166 | Mettez en corrélation les événements à l'aide d'informations recueillies auprès de diverses sources au sein de l'entreprise afin d'obtenir une meilleure visibilité de la situation et de déterminer l'efficacité d'une attaque observée. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0166 | Mettez en corrélation les événements à l'aide d'informations recueillies auprès de diverses sources au sein de l'entreprise afin d'obtenir une meilleure visibilité de la situation et de déterminer l'efficacité d'une attaque observée. | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
| T0166 | Mettez en corrélation les événements à l'aide d'informations recueillies auprès de diverses sources au sein de l'entreprise afin d'obtenir une meilleure visibilité de la situation et de déterminer l'efficacité d'une attaque observée. | Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole. | |
| T0168 | Effectuez une comparaison de hachage par rapport à une base de données établie. | Utilisez la validation des fichiers AWS CloudTrail journaux pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonctionnalité est créée grâce à des algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection. | |
| T0195 | Fournissez un flux géré d'informations pertinentes (via des portails web ou d'autres moyens) en fonction des exigences de la mission. | Assurez-vous que AWS le WAF est activé sur les Elastic Load Balancers (ELB) pour protéger les applications Web. Un WAF aide à protéger vos applications Web ou API contre les menaces Web courantes. Ces attaques web peuvent affecter la disponibilité, compromettre la sécurité ou consommer des ressources excessives dans votre environnement. | |
| T0195 | Fournissez un flux géré d'informations pertinentes (via des portails web ou d'autres moyens) en fonction des exigences de la mission. | AWS Le WAF vous permet de configurer un ensemble de règles (appelé liste de contrôle d'accès Web (ACL Web)) qui autorisent, bloquent ou comptent les requêtes Web en fonction de règles et de conditions de sécurité Web personnalisables que vous définissez. Assurez-vous que votre étape Amazon API Gateway est associée à une liste ACL Web WAF pour la protéger contre les attaques malveillantes | |
| T0195 | Fournissez un flux géré d'informations pertinentes (via des portails web ou d'autres moyens) en fonction des exigences de la mission. | Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs. | |
| T0195 | Fournissez un flux géré d'informations pertinentes (via des portails web ou d'autres moyens) en fonction des exigences de la mission. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
| T0195 | Fournissez un flux géré d'informations pertinentes (via des portails web ou d'autres moyens) en fonction des exigences de la mission. | Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès. | |
| T0195 | Fournissez un flux géré d'informations pertinentes (via des portails web ou d'autres moyens) en fonction des exigences de la mission. | Assurez-vous que les tables de routage Amazon EC2 ne disposent pas de routes illimitées vers une passerelle Internet. La suppression ou la limitation de l'accès à Internet pour les charges de travail au sein des réseaux Amazon VPC peut réduire les accès imprévus au sein de votre environnement. | |
| T0195 | Fournissez un flux géré d'informations pertinentes (via des portails web ou d'autres moyens) en fonction des exigences de la mission. | Le routage VPC amélioré oblige tout le trafic COPY et UNLOAD entre le cluster et les référentiels de données à passer par votre réseau Amazon VPC. Vous pouvez ensuite utiliser les fonctionnalités VPC, telles que les groupes de sécurité et les listes de contrôle d'accès réseau, pour sécuriser le trafic réseau. Vous pouvez également utiliser les journaux de flux VPC pour surveiller le trafic réseau. | |
| T0195 | Fournissez un flux géré d'informations pertinentes (via des portails web ou d'autres moyens) en fonction des exigences de la mission. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0195 | Fournissez un flux géré d'informations pertinentes (via des portails web ou d'autres moyens) en fonction des exigences de la mission. | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
| T0195 | Fournissez un flux géré d'informations pertinentes (via des portails web ou d'autres moyens) en fonction des exigences de la mission. | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| T0195 | Fournissez un flux géré d'informations pertinentes (via des portails web ou d'autres moyens) en fonction des exigences de la mission. | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| T0195 | Fournissez un flux géré d'informations pertinentes (via des portails web ou d'autres moyens) en fonction des exigences de la mission. | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| T0195 | Fournissez un flux géré d'informations pertinentes (via des portails web ou d'autres moyens) en fonction des exigences de la mission. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
| T0195 | Fournissez un flux géré d'informations pertinentes (via des portails web ou d'autres moyens) en fonction des exigences de la mission. | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| T0195 | Fournissez un flux géré d'informations pertinentes (via des portails web ou d'autres moyens) en fonction des exigences de la mission. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
| T0195 | Fournissez un flux géré d'informations pertinentes (via des portails web ou d'autres moyens) en fonction des exigences de la mission. | Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC. | |
| T0195 | Fournissez un flux géré d'informations pertinentes (via des portails web ou d'autres moyens) en fonction des exigences de la mission. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon Elasticsearch Service (Amazon ES) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon ES au sein d'un réseau Amazon VPC permet une communication sécurisée entre Amazon ES et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. | |
| T0195 | Fournissez un flux géré d'informations pertinentes (via des portails web ou d'autres moyens) en fonction des exigences de la mission. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| T0195 | Fournissez un flux géré d'informations pertinentes (via des portails web ou d'autres moyens) en fonction des exigences de la mission. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| T0195 | Fournissez un flux géré d'informations pertinentes (via des portails web ou d'autres moyens) en fonction des exigences de la mission. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| T0195 | Fournissez un flux géré d'informations pertinentes (via des portails web ou d'autres moyens) en fonction des exigences de la mission. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0195 | Fournissez un flux géré d'informations pertinentes (via des portails web ou d'autres moyens) en fonction des exigences de la mission. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
| T0195 | Fournissez un flux géré d'informations pertinentes (via des portails web ou d'autres moyens) en fonction des exigences de la mission. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| T0195 | Fournissez un flux géré d'informations pertinentes (via des portails web ou d'autres moyens) en fonction des exigences de la mission. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| T0195 | Fournissez un flux géré d'informations pertinentes (via des portails web ou d'autres moyens) en fonction des exigences de la mission. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
| T0195 | Fournissez un flux géré d'informations pertinentes (via des portails web ou d'autres moyens) en fonction des exigences de la mission. | Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale. | |
| T0195 | Fournissez un flux géré d'informations pertinentes (via des portails web ou d'autres moyens) en fonction des exigences de la mission. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
| T0195 | Fournissez un flux géré d'informations pertinentes (via des portails web ou d'autres moyens) en fonction des exigences de la mission. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
| T0215 | Identifiez une éventuelle violation de la sécurité et prenez les mesures appropriées pour signaler l'incident, le cas échéant. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| T0244 | Vérifiez que les mesures de sécurité des logiciels d'application, des réseaux et des systèmes sont mises en œuvre comme prévu, documentez tout écart et recommandez les mesures à prendre pour le corriger. | Utilisez la validation des fichiers AWS CloudTrail journaux pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonctionnalité est créée grâce à des algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection. | |
| T0244 | Vérifiez que les mesures de sécurité des logiciels d'application, des réseaux et des systèmes sont mises en œuvre comme prévu, documentez tout écart et recommandez les mesures à prendre pour le corriger. | Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement. | |
| T0244 | Vérifiez que les mesures de sécurité des logiciels d'application, des réseaux et des systèmes sont mises en œuvre comme prévu, documentez tout écart et recommandez les mesures à prendre pour le corriger. | Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des références pour les niveaux de correctifs du système d'exploitation, les installations logicielles, les configurations d'application et d'autres informations relatives à votre environnement. | |
| T0258 | Détectez, identifiez et alertez rapidement en cas d'attaques/intrusions, d'activités anormales et d'utilisations abusives, et distinguez ces incidents et événements des activités ordinaires. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| T0259 | Utilisez des outils de cyberdéfense pour surveiller et analyser en permanence l'activité du système afin d'identifier les activités malveillantes. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| T0262 | Utilisez des defense-in-depth principes et des pratiques approuvés (par exemple, defense-in-multiple lieux, défenses en couches, robustesse de la sécurité). | Assurez-vous que AWS le WAF est activé sur les Elastic Load Balancers (ELB) pour protéger les applications Web. Un WAF aide à protéger vos applications Web ou API contre les menaces Web courantes. Ces attaques web peuvent affecter la disponibilité, compromettre la sécurité ou consommer des ressources excessives dans votre environnement. | |
| T0262 | Utilisez des defense-in-depth principes et des pratiques approuvés (par exemple, defense-in-multiple lieux, défenses en couches, robustesse de la sécurité). | AWS Le WAF vous permet de configurer un ensemble de règles (appelé liste de contrôle d'accès Web (ACL Web)) qui autorisent, bloquent ou comptent les requêtes Web en fonction de règles et de conditions de sécurité Web personnalisables que vous définissez. Assurez-vous que votre étape Amazon API Gateway est associée à une liste ACL Web WAF pour la protéger contre les attaques malveillantes | |
| T0262 | Utilisez des defense-in-depth principes et des pratiques approuvés (par exemple, defense-in-multiple lieux, défenses en couches, robustesse de la sécurité). | Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs. | |
| T0262 | Utilisez des defense-in-depth principes et des pratiques approuvés (par exemple, defense-in-multiple lieux, défenses en couches, robustesse de la sécurité). | Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès. | |
| T0262 | Utilisez des defense-in-depth principes et des pratiques approuvés (par exemple, defense-in-multiple lieux, défenses en couches, robustesse de la sécurité). | Assurez-vous que les tables de routage Amazon EC2 ne disposent pas de routes illimitées vers une passerelle Internet. La suppression ou la limitation de l'accès à Internet pour les charges de travail au sein des réseaux Amazon VPC peut réduire les accès imprévus au sein de votre environnement. | |
| T0262 | Utilisez des defense-in-depth principes et des pratiques approuvés (par exemple, defense-in-multiple lieux, défenses en couches, robustesse de la sécurité). | Le routage VPC amélioré oblige tout le trafic COPY et UNLOAD entre le cluster et les référentiels de données à passer par votre réseau Amazon VPC. Vous pouvez ensuite utiliser les fonctionnalités VPC, telles que les groupes de sécurité et les listes de contrôle d'accès réseau, pour sécuriser le trafic réseau. Vous pouvez également utiliser les journaux de flux VPC pour surveiller le trafic réseau. | |
| T0262 | Utilisez des defense-in-depth principes et des pratiques approuvés (par exemple, defense-in-multiple lieux, défenses en couches, robustesse de la sécurité). | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0262 | Utilisez des defense-in-depth principes et des pratiques approuvés (par exemple, defense-in-multiple lieux, défenses en couches, robustesse de la sécurité). | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
| T0262 | Utilisez des defense-in-depth principes et des pratiques approuvés (par exemple, defense-in-multiple lieux, défenses en couches, robustesse de la sécurité). | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| T0262 | Utilisez des defense-in-depth principes et des pratiques approuvés (par exemple, defense-in-multiple lieux, défenses en couches, robustesse de la sécurité). | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| T0262 | Utilisez des defense-in-depth principes et des pratiques approuvés (par exemple, defense-in-multiple lieux, défenses en couches, robustesse de la sécurité). | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| T0262 | Utilisez des defense-in-depth principes et des pratiques approuvés (par exemple, defense-in-multiple lieux, défenses en couches, robustesse de la sécurité). | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
| T0262 | Utilisez des defense-in-depth principes et des pratiques approuvés (par exemple, defense-in-multiple lieux, défenses en couches, robustesse de la sécurité). | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| T0262 | Utilisez des defense-in-depth principes et des pratiques approuvés (par exemple, defense-in-multiple lieux, défenses en couches, robustesse de la sécurité). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
| T0262 | Utilisez des defense-in-depth principes et des pratiques approuvés (par exemple, defense-in-multiple lieux, défenses en couches, robustesse de la sécurité). | Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC. | |
| T0262 | Utilisez des defense-in-depth principes et des pratiques approuvés (par exemple, defense-in-multiple lieux, défenses en couches, robustesse de la sécurité). | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon Elasticsearch Service (Amazon ES) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon ES au sein d'un réseau Amazon VPC permet une communication sécurisée entre Amazon ES et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. | |
| T0262 | Utilisez des defense-in-depth principes et des pratiques approuvés (par exemple, defense-in-multiple lieux, défenses en couches, robustesse de la sécurité). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| T0262 | Utilisez des defense-in-depth principes et des pratiques approuvés (par exemple, defense-in-multiple lieux, défenses en couches, robustesse de la sécurité). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| T0262 | Utilisez des defense-in-depth principes et des pratiques approuvés (par exemple, defense-in-multiple lieux, défenses en couches, robustesse de la sécurité). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| T0262 | Utilisez des defense-in-depth principes et des pratiques approuvés (par exemple, defense-in-multiple lieux, défenses en couches, robustesse de la sécurité). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0262 | Utilisez des defense-in-depth principes et des pratiques approuvés (par exemple, defense-in-multiple lieux, défenses en couches, robustesse de la sécurité). | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
| T0262 | Utilisez des defense-in-depth principes et des pratiques approuvés (par exemple, defense-in-multiple lieux, défenses en couches, robustesse de la sécurité). | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| T0262 | Utilisez des defense-in-depth principes et des pratiques approuvés (par exemple, defense-in-multiple lieux, défenses en couches, robustesse de la sécurité). | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| T0262 | Utilisez des defense-in-depth principes et des pratiques approuvés (par exemple, defense-in-multiple lieux, défenses en couches, robustesse de la sécurité). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
| T0262 | Utilisez des defense-in-depth principes et des pratiques approuvés (par exemple, defense-in-multiple lieux, défenses en couches, robustesse de la sécurité). | Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale. | |
| T0262 | Utilisez des defense-in-depth principes et des pratiques approuvés (par exemple, defense-in-multiple lieux, défenses en couches, robustesse de la sécurité). | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
| T0262 | Utilisez des defense-in-depth principes et des pratiques approuvés (par exemple, defense-in-multiple lieux, défenses en couches, robustesse de la sécurité). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | La gestion centralisée Comptes AWS au sein des AWS Organisations permet de garantir la conformité des comptes. L'absence de gouvernance centralisée des comptes peut entraîner des configurations de comptes incohérentes, ce qui peut exposer des ressources et des données sensibles. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Assurez-vous que AWS le WAF est activé sur les Elastic Load Balancers (ELB) pour protéger les applications Web. Un WAF aide à protéger vos applications Web ou API contre les menaces Web courantes. Ces attaques web peuvent affecter la disponibilité, compromettre la sécurité ou consommer des ressources excessives dans votre environnement. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | AWS Le WAF vous permet de configurer un ensemble de règles (appelé liste de contrôle d'accès Web (ACL Web)) qui autorisent, bloquent ou comptent les requêtes Web en fonction de règles et de conditions de sécurité Web personnalisables que vous définissez. Assurez-vous que votre étape Amazon API Gateway est associée à une liste ACL Web WAF pour la protéger contre les attaques malveillantes | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Les profils d'instance EC2 transmettent un rôle IAM à une instance EC2. L'association d'un profil d'instance à vos instances peut faciliter la gestion du moindre privilège et des autorisations. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Assurez-vous que les tables de routage Amazon EC2 ne disposent pas de routes illimitées vers une passerelle Internet. La suppression ou la limitation de l'accès à Internet pour les charges de travail au sein des réseaux Amazon VPC peut réduire les accès imprévus au sein de votre environnement. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Activez les mises à niveau automatiques des versions mineures sur vos instances Amazon Relational Database Service (RDS) pour vous assurer que les dernières mises à jour mineures du système de gestion de base de données relationnelle (RDBMS) sont installées, lesquelles peuvent inclure des correctifs de sécurité et des correctifs de bogues. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Le routage VPC amélioré oblige tout le trafic COPY et UNLOAD entre le cluster et les référentiels de données à passer par votre réseau Amazon VPC. Vous pouvez ensuite utiliser les fonctionnalités VPC, telles que les groupes de sécurité et les listes de contrôle d'accès réseau, pour sécuriser le trafic réseau. Vous pouvez également utiliser les journaux de flux VPC pour surveiller le trafic réseau. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Assurez-vous que vos points AWS de restauration Backup sont associés à une politique basée sur les ressources qui empêche la suppression de points de restauration. L'utilisation d'une politique basée sur les ressources pour empêcher la suppression des points de récupération peut aider à empêcher les suppressions accidentelles ou intentionnelles. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Utilisez la validation des fichiers AWS CloudTrail journaux pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonctionnalité est créée grâce à des algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Assurez-vous que les informations d'authentification AWS_ACCESS_KEY_ID et AWS_SECRET_ACCESS_KEY n'existent pas dans les environnements de projet Codebuild. AWS Ne stockez pas ces variables en clair. Le stockage de ces variables en clair entraîne une exposition involontaire des données et un accès non autorisé. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Assurez-vous que l'URL du référentiel source GitHub ou de Bitbucket ne contient pas de jetons d'accès personnels ni d'identifiants de connexion dans les environnements de projet AWS Codebuild. Utilisez OAuth au lieu de jetons d'accès personnels ou d'identifiants de connexion pour autoriser l'accès aux GitHub référentiels Bitbucket. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Activez cette règle pour limiter l'accès aux ressources dans le Cloud AWS . Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon Elasticsearch Service (Amazon ES) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon ES au sein d'un réseau Amazon VPC permet une communication sécurisée entre Amazon ES et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Cette règle garantit que les clusters Amazon Redshift disposent des paramètres préférés de votre organisation. Plus précisément, qu'ils disposent de fenêtres de maintenance préférées et de périodes de conservation des instantanés automatisées pour la base de données. Cette règle vous oblige à définir le allowVersionUpgrade. Par défaut, la valeur est true. Il vous permet également de définir éventuellement le preferredMaintenanceWindow (la valeur par défaut est samedi : 16h00 - samedi : 16h30) et la automatedSnapshotRetention période (la valeur par défaut est 1). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. La MFA ajoute une couche supplémentaire de protection pour les informations d'identification de connexion En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
| T0284 | Concevez et élaborez de nouveaux ou nouvelles outils/technologies lié(e)s à la cybersécurité. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
| T0306 | Prend en charge la gestion des incidents, la gestion des niveaux de service, la gestion des modifications, la gestion des versions, la gestion de la continuité et la gestion de la disponibilité des bases de données et des systèmes de gestion des données. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| T0306 | Prend en charge la gestion des incidents, la gestion des niveaux de service, la gestion des modifications, la gestion des versions, la gestion de la continuité et la gestion de la disponibilité des bases de données et des systèmes de gestion des données. | Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement. | |
| T0306 | Prend en charge la gestion des incidents, la gestion des niveaux de service, la gestion des modifications, la gestion des versions, la gestion de la continuité et la gestion de la disponibilité des bases de données et des systèmes de gestion des données. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| T0314 | Élaborez un contexte de sécurité des systèmes, un concept préliminaire de sécurité du système (CONOPS) et définissez les exigences de base en matière de sécurité du système conformément aux exigences applicables en matière de cybersécurité. | Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement. | |
| T0314 | Élaborez un contexte de sécurité des systèmes, un concept préliminaire de sécurité du système (CONOPS) et définissez les exigences de base en matière de sécurité du système conformément aux exigences applicables en matière de cybersécurité. | Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des références pour les niveaux de correctifs du système d'exploitation, les installations logicielles, les configurations d'application et d'autres informations relatives à votre environnement. | |
| T0314 | Élaborez un contexte de sécurité des systèmes, un concept préliminaire de sécurité du système (CONOPS) et définissez les exigences de base en matière de sécurité du système conformément aux exigences applicables en matière de cybersécurité. | Activez cette règle pour faciliter la configuration de référence des instances Amazon Elastic Compute Cloud (Amazon EC2) en vérifiant si les instances Amazon EC2 ont été arrêtées pendant un nombre de jours supérieur au nombre autorisé, conformément aux normes de votre organisation. | |
| T0314 | Élaborez un contexte de sécurité des systèmes, un concept préliminaire de sécurité du système (CONOPS) et définissez les exigences de base en matière de sécurité du système conformément aux exigences applicables en matière de cybersécurité. | Cette règle garantit que les volumes Amazon Elastic Block Store attachés aux instances Amazon Elastic Compute Cloud (Amazon EC2) sont marqués pour suppression lorsqu'une instance est résiliée. Si un volume Amazon EBS n'est pas supprimé lorsque l'instance à laquelle il est attaché est résiliée, cela peut enfreindre le concept de moindre fonctionnalité. | |
| T0314 | Élaborez un contexte de sécurité des systèmes, un concept préliminaire de sécurité du système (CONOPS) et définissez les exigences de base en matière de sécurité du système conformément aux exigences applicables en matière de cybersécurité. | Cette règle garantit que la protection contre la suppression est activée pour Elastic Load Balancing. Utilisez cette fonctionnalité pour empêcher la suppression accidentelle ou malveillante de votre équilibreur de charge, ce qui pourrait entraîner une perte de disponibilité pour vos applications. | |
| T0314 | Élaborez un contexte de sécurité des systèmes, un concept préliminaire de sécurité du système (CONOPS) et définissez les exigences de base en matière de sécurité du système conformément aux exigences applicables en matière de cybersécurité. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0333 | Effectuez des analyses et générez des rapports sur les tendances en matière de cyberdéfense. | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| T0333 | Effectuez des analyses et générez des rapports sur les tendances en matière de cyberdéfense. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| T0347 | Évaluez la validité des données sources et des résultats qui en découlent. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| T0358 | Concevez et développez des fonctionnalités d'administration et de gestion du système pour les utilisateurs qui disposent d'un accès privilégié. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
| T0358 | Concevez et développez des fonctionnalités d'administration et de gestion du système pour les utilisateurs qui disposent d'un accès privilégié. | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| T0358 | Concevez et développez des fonctionnalités d'administration et de gestion du système pour les utilisateurs qui disposent d'un accès privilégié. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation | |
| T0358 | Concevez et développez des fonctionnalités d'administration et de gestion du système pour les utilisateurs qui disposent d'un accès privilégié. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège. | |
| T0358 | Concevez et développez des fonctionnalités d'administration et de gestion du système pour les utilisateurs qui disposent d'un accès privilégié. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0358 | Concevez et développez des fonctionnalités d'administration et de gestion du système pour les utilisateurs qui disposent d'un accès privilégié. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| T0358 | Concevez et développez des fonctionnalités d'administration et de gestion du système pour les utilisateurs qui disposent d'un accès privilégié. | AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| T0358 | Concevez et développez des fonctionnalités d'administration et de gestion du système pour les utilisateurs qui disposent d'un accès privilégié. | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
| T0376 | Établissez des programmes de gestion des effectifs cyber, dotez-les de ressources, mettez-les en œuvre et évaluez-les conformément aux exigences de l'organisation. | Les profils d'instance EC2 transmettent un rôle IAM à une instance EC2. L'association d'un profil d'instance à vos instances peut faciliter la gestion du moindre privilège et des autorisations. | |
| T0376 | Établissez des programmes de gestion des effectifs cyber, dotez-les de ressources, mettez-les en œuvre et évaluez-les conformément aux exigences de l'organisation. | Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges. | |
| T0376 | Établissez des programmes de gestion des effectifs cyber, dotez-les de ressources, mettez-les en œuvre et évaluez-les conformément aux exigences de l'organisation. | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| T0376 | Établissez des programmes de gestion des effectifs cyber, dotez-les de ressources, mettez-les en œuvre et évaluez-les conformément aux exigences de l'organisation. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
| T0376 | Établissez des programmes de gestion des effectifs cyber, dotez-les de ressources, mettez-les en œuvre et évaluez-les conformément aux exigences de l'organisation. | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| T0376 | Établissez des programmes de gestion des effectifs cyber, dotez-les de ressources, mettez-les en œuvre et évaluez-les conformément aux exigences de l'organisation. | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
| T0376 | Établissez des programmes de gestion des effectifs cyber, dotez-les de ressources, mettez-les en œuvre et évaluez-les conformément aux exigences de l'organisation. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
| T0376 | Établissez des programmes de gestion des effectifs cyber, dotez-les de ressources, mettez-les en œuvre et évaluez-les conformément aux exigences de l'organisation. | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS. | |
| T0376 | Établissez des programmes de gestion des effectifs cyber, dotez-les de ressources, mettez-les en œuvre et évaluez-les conformément aux exigences de l'organisation. | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
| T0376 | Établissez des programmes de gestion des effectifs cyber, dotez-les de ressources, mettez-les en œuvre et évaluez-les conformément aux exigences de l'organisation. | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du compte AWS qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
| T0376 | Établissez des programmes de gestion des effectifs cyber, dotez-les de ressources, mettez-les en œuvre et évaluez-les conformément aux exigences de l'organisation. | Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal. | |
| T0376 | Établissez des programmes de gestion des effectifs cyber, dotez-les de ressources, mettez-les en œuvre et évaluez-les conformément aux exigences de l'organisation. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation | |
| T0376 | Établissez des programmes de gestion des effectifs cyber, dotez-les de ressources, mettez-les en œuvre et évaluez-les conformément aux exigences de l'organisation. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège. | |
| T0376 | Établissez des programmes de gestion des effectifs cyber, dotez-les de ressources, mettez-les en œuvre et évaluez-les conformément aux exigences de l'organisation. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0376 | Établissez des programmes de gestion des effectifs cyber, dotez-les de ressources, mettez-les en œuvre et évaluez-les conformément aux exigences de l'organisation. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| T0376 | Établissez des programmes de gestion des effectifs cyber, dotez-les de ressources, mettez-les en œuvre et évaluez-les conformément aux exigences de l'organisation. | AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| T0376 | Établissez des programmes de gestion des effectifs cyber, dotez-les de ressources, mettez-les en œuvre et évaluez-les conformément aux exigences de l'organisation. | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
| T0376 | Établissez des programmes de gestion des effectifs cyber, dotez-les de ressources, mettez-les en œuvre et évaluez-les conformément aux exigences de l'organisation. | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
| T0376 | Établissez des programmes de gestion des effectifs cyber, dotez-les de ressources, mettez-les en œuvre et évaluez-les conformément aux exigences de l'organisation. | Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole. | |
| T0416 | Permettez l'utilisation d'applications à clé publique en exploitant les bibliothèques d'infrastructure à clé publique (PKI) existantes et en incorporant des fonctionnalités de gestion et de chiffrement des certificats, le cas échéant. | Assurez-vous que l'intégrité du réseau est protégée en vous assurant que les certificats X509 sont émis par AWS ACM. Ces certificats doivent être valides et non expirés. Cette règle nécessite une valeur pour daysToExpiration (valeur des meilleures pratiques de sécuritéAWS fondamentales : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| T0416 | Permettez l'utilisation d'applications à clé publique en exploitant les bibliothèques d'infrastructure à clé publique (PKI) existantes et en incorporant des fonctionnalités de gestion et de chiffrement des certificats, le cas échéant. | Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| T0416 | Permettez l'utilisation d'applications à clé publique en exploitant les bibliothèques d'infrastructure à clé publique (PKI) existantes et en incorporant des fonctionnalités de gestion et de chiffrement des certificats, le cas échéant. | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| T0416 | Permettez l'utilisation d'applications à clé publique en exploitant les bibliothèques d'infrastructure à clé publique (PKI) existantes et en incorporant des fonctionnalités de gestion et de chiffrement des certificats, le cas échéant. | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes. | |
| T0416 | Permettez l'utilisation d'applications à clé publique en exploitant les bibliothèques d'infrastructure à clé publique (PKI) existantes et en incorporant des fonctionnalités de gestion et de chiffrement des certificats, le cas échéant. | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes. | |
| T0416 | Permettez l'utilisation d'applications à clé publique en exploitant les bibliothèques d'infrastructure à clé publique (PKI) existantes et en incorporant des fonctionnalités de gestion et de chiffrement des certificats, le cas échéant. | Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| T0416 | Permettez l'utilisation d'applications à clé publique en exploitant les bibliothèques d'infrastructure à clé publique (PKI) existantes et en incorporant des fonctionnalités de gestion et de chiffrement des certificats, le cas échéant. | Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| T0416 | Permettez l'utilisation d'applications à clé publique en exploitant les bibliothèques d'infrastructure à clé publique (PKI) existantes et en incorporant des fonctionnalités de gestion et de chiffrement des certificats, le cas échéant. | Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| T0416 | Permettez l'utilisation d'applications à clé publique en exploitant les bibliothèques d'infrastructure à clé publique (PKI) existantes et en incorporant des fonctionnalités de gestion et de chiffrement des certificats, le cas échéant. | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| T0416 | Permettez l'utilisation d'applications à clé publique en exploitant les bibliothèques d'infrastructure à clé publique (PKI) existantes et en incorporant des fonctionnalités de gestion et de chiffrement des certificats, le cas échéant. | Assurez-vous que les étapes de l'API REST Amazon API Gateway sont configurées avec des certificats SSL pour permettre aux systèmes backend d'authentifier que les demandes proviennent d'API Gateway. | |
| T0421 | Gérez l'indexation/le catalogage, le stockage et l'accès à des connaissances organisationnelles explicites (par exemple, des documents papier, des fichiers numériques). | Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs. | |
| T0421 | Gérez l'indexation/le catalogage, le stockage et l'accès à des connaissances organisationnelles explicites (par exemple, des documents papier, des fichiers numériques). | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| T0421 | Gérez l'indexation/le catalogage, le stockage et l'accès à des connaissances organisationnelles explicites (par exemple, des documents papier, des fichiers numériques). | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| T0421 | Gérez l'indexation/le catalogage, le stockage et l'accès à des connaissances organisationnelles explicites (par exemple, des documents papier, des fichiers numériques). | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| T0421 | Gérez l'indexation/le catalogage, le stockage et l'accès à des connaissances organisationnelles explicites (par exemple, des documents papier, des fichiers numériques). | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| T0421 | Gérez l'indexation/le catalogage, le stockage et l'accès à des connaissances organisationnelles explicites (par exemple, des documents papier, des fichiers numériques). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
| T0421 | Gérez l'indexation/le catalogage, le stockage et l'accès à des connaissances organisationnelles explicites (par exemple, des documents papier, des fichiers numériques). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| T0421 | Gérez l'indexation/le catalogage, le stockage et l'accès à des connaissances organisationnelles explicites (par exemple, des documents papier, des fichiers numériques). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| T0421 | Gérez l'indexation/le catalogage, le stockage et l'accès à des connaissances organisationnelles explicites (par exemple, des documents papier, des fichiers numériques). | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| T0421 | Gérez l'indexation/le catalogage, le stockage et l'accès à des connaissances organisationnelles explicites (par exemple, des documents papier, des fichiers numériques). | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0421 | Gérez l'indexation/le catalogage, le stockage et l'accès à des connaissances organisationnelles explicites (par exemple, des documents papier, des fichiers numériques). | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| T0421 | Gérez l'indexation/le catalogage, le stockage et l'accès à des connaissances organisationnelles explicites (par exemple, des documents papier, des fichiers numériques). | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| T0421 | Gérez l'indexation/le catalogage, le stockage et l'accès à des connaissances organisationnelles explicites (par exemple, des documents papier, des fichiers numériques). | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
| T0421 | Gérez l'indexation/le catalogage, le stockage et l'accès à des connaissances organisationnelles explicites (par exemple, des documents papier, des fichiers numériques). | Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal. | |
| T0421 | Gérez l'indexation/le catalogage, le stockage et l'accès à des connaissances organisationnelles explicites (par exemple, des documents papier, des fichiers numériques). | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
| T0421 | Gérez l'indexation/le catalogage, le stockage et l'accès à des connaissances organisationnelles explicites (par exemple, des documents papier, des fichiers numériques). | Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale. | |
| T0475 | Évaluez les contrôles d'accès adéquats sur la base des principes du moindre privilège et need-to-know. | Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs. | |
| T0475 | Évaluez les contrôles d'accès adéquats sur la base des principes du moindre privilège et need-to-know. | Les profils d'instance EC2 transmettent un rôle IAM à une instance EC2. L'association d'un profil d'instance à vos instances peut faciliter la gestion du moindre privilège et des autorisations. | |
| T0475 | Évaluez les contrôles d'accès adéquats sur la base des principes du moindre privilège et need-to-know. | Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges. | |
| T0475 | Évaluez les contrôles d'accès adéquats sur la base des principes du moindre privilège et need-to-know. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
| T0475 | Évaluez les contrôles d'accès adéquats sur la base des principes du moindre privilège et need-to-know. | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| T0475 | Évaluez les contrôles d'accès adéquats sur la base des principes du moindre privilège et need-to-know. | Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès. | |
| T0475 | Évaluez les contrôles d'accès adéquats sur la base des principes du moindre privilège et need-to-know. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0475 | Évaluez les contrôles d'accès adéquats sur la base des principes du moindre privilège et need-to-know. | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
| T0475 | Évaluez les contrôles d'accès adéquats sur la base des principes du moindre privilège et need-to-know. | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| T0475 | Évaluez les contrôles d'accès adéquats sur la base des principes du moindre privilège et need-to-know. | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| T0475 | Évaluez les contrôles d'accès adéquats sur la base des principes du moindre privilège et need-to-know. | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| T0475 | Évaluez les contrôles d'accès adéquats sur la base des principes du moindre privilège et need-to-know. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine de OpenSearch service au sein d'un Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un appareil NAT ou d'une connexion VPN. | |
| T0475 | Évaluez les contrôles d'accès adéquats sur la base des principes du moindre privilège et need-to-know. | Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal. | |
| T0475 | Évaluez les contrôles d'accès adéquats sur la base des principes du moindre privilège et need-to-know. | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| T0475 | Évaluez les contrôles d'accès adéquats sur la base des principes du moindre privilège et need-to-know. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation | |
| T0475 | Évaluez les contrôles d'accès adéquats sur la base des principes du moindre privilège et need-to-know. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège. | |
| T0475 | Évaluez les contrôles d'accès adéquats sur la base des principes du moindre privilège et need-to-know. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0475 | Évaluez les contrôles d'accès adéquats sur la base des principes du moindre privilège et need-to-know. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| T0475 | Évaluez les contrôles d'accès adéquats sur la base des principes du moindre privilège et need-to-know. | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité. | |
| T0475 | Évaluez les contrôles d'accès adéquats sur la base des principes du moindre privilège et need-to-know. | AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| T0475 | Évaluez les contrôles d'accès adéquats sur la base des principes du moindre privilège et need-to-know. | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
| T0475 | Évaluez les contrôles d'accès adéquats sur la base des principes du moindre privilège et need-to-know. | AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| T0475 | Évaluez les contrôles d'accès adéquats sur la base des principes du moindre privilège et need-to-know. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
| T0475 | Évaluez les contrôles d'accès adéquats sur la base des principes du moindre privilège et need-to-know. | Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC. | |
| T0475 | Évaluez les contrôles d'accès adéquats sur la base des principes du moindre privilège et need-to-know. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon Elasticsearch Service (Amazon ES) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon ES au sein d'un réseau Amazon VPC permet une communication sécurisée entre Amazon ES et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. | |
| T0475 | Évaluez les contrôles d'accès adéquats sur la base des principes du moindre privilège et need-to-know. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| T0475 | Évaluez les contrôles d'accès adéquats sur la base des principes du moindre privilège et need-to-know. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| T0475 | Évaluez les contrôles d'accès adéquats sur la base des principes du moindre privilège et need-to-know. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| T0475 | Évaluez les contrôles d'accès adéquats sur la base des principes du moindre privilège et need-to-know. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
| T0475 | Évaluez les contrôles d'accès adéquats sur la base des principes du moindre privilège et need-to-know. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| T0475 | Évaluez les contrôles d'accès adéquats sur la base des principes du moindre privilège et need-to-know. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| T0475 | Évaluez les contrôles d'accès adéquats sur la base des principes du moindre privilège et need-to-know. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
| T0475 | Évaluez les contrôles d'accès adéquats sur la base des principes du moindre privilège et need-to-know. | Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale. | |
| T0489 | Mettez en œuvre des mesures de sécurité du système conformément aux procédures établies afin de garantir la confidentialité, l'intégrité, la disponibilité, l'authentification et la non-répudiation. | Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| T0489 | Mettez en œuvre des mesures de sécurité du système conformément aux procédures établies afin de garantir la confidentialité, l'intégrité, la disponibilité, l'authentification et la non-répudiation. | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
| T0489 | Mettez en œuvre des mesures de sécurité du système conformément aux procédures établies afin de garantir la confidentialité, l'intégrité, la disponibilité, l'authentification et la non-répudiation. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait. | |
| T0489 | Mettez en œuvre des mesures de sécurité du système conformément aux procédures établies afin de garantir la confidentialité, l'intégrité, la disponibilité, l'authentification et la non-répudiation. | La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs. | |
| T0489 | Mettez en œuvre des mesures de sécurité du système conformément aux procédures établies afin de garantir la confidentialité, l'intégrité, la disponibilité, l'authentification et la non-répudiation. | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS. | |
| T0489 | Mettez en œuvre des mesures de sécurité du système conformément aux procédures établies afin de garantir la confidentialité, l'intégrité, la disponibilité, l'authentification et la non-répudiation. | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
| T0489 | Mettez en œuvre des mesures de sécurité du système conformément aux procédures établies afin de garantir la confidentialité, l'intégrité, la disponibilité, l'authentification et la non-répudiation. | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du compte AWS qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
| T0489 | Mettez en œuvre des mesures de sécurité du système conformément aux procédures établies afin de garantir la confidentialité, l'intégrité, la disponibilité, l'authentification et la non-répudiation. | L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. | |
| T0489 | Mettez en œuvre des mesures de sécurité du système conformément aux procédures établies afin de garantir la confidentialité, l'intégrité, la disponibilité, l'authentification et la non-répudiation. | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
| T0489 | Mettez en œuvre des mesures de sécurité du système conformément aux procédures établies afin de garantir la confidentialité, l'intégrité, la disponibilité, l'authentification et la non-répudiation. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0489 | Mettez en œuvre des mesures de sécurité du système conformément aux procédures établies afin de garantir la confidentialité, l'intégrité, la disponibilité, l'authentification et la non-répudiation. | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
| T0489 | Mettez en œuvre des mesures de sécurité du système conformément aux procédures établies afin de garantir la confidentialité, l'intégrité, la disponibilité, l'authentification et la non-répudiation. | Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole. | |
| T0491 | Installez et configurez le matériel, les logiciels et les équipements périphériques pour les utilisateurs du système conformément aux normes de l'organisation. | Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (Amazon EC2) avec Systems AWS Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement. | |
| T0491 | Installez et configurez le matériel, les logiciels et les équipements périphériques pour les utilisateurs du système conformément aux normes de l'organisation. | Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des références pour les niveaux de correctifs du système d'exploitation, les installations logicielles, les configurations d'application et d'autres informations relatives à votre environnement. | |
| T0491 | Installez et configurez le matériel, les logiciels et les équipements périphériques pour les utilisateurs du système conformément aux normes de l'organisation. | Activez cette règle pour faciliter l'identification et la documentation des vulnérabilités d'Amazon Elastic Compute Cloud (Amazon EC2). La règle vérifie si les correctifs d'instance Amazon EC2 sont conformes dans AWS Systems Manager conformément aux politiques et procédures de votre entreprise. | |
| T0503 | Surveillez les sources de données externes (par exemple, les sites des fournisseurs de cyberdéfense, les équipes d'intervention en cas d'urgence informatique, Security Focus) afin de maintenir l'actualité des menaces de cyberdéfense et de déterminer les problèmes de sécurité susceptibles d'avoir un impact sur l'entreprise. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| T0509 | Effectuez une évaluation des risques en matière de sécurité de l'information. | annual-risk-assessment-performed (vérification du processus) | Effectuez une évaluation annuelle des risques au sein de votre organisation. Les évaluations des risques peuvent aider à déterminer la probabilité et l'impact des risques et/ou des vulnérabilités identifiés sur une organisation. |
| T0553 | Appliquez des fonctions de cybersécurité (par exemple, le chiffrement, le contrôle d'accès et la gestion des identités) pour réduire les opportunités d'exploitation. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données. | |
| T0553 | Appliquez des fonctions de cybersécurité (par exemple, le chiffrement, le contrôle d'accès et la gestion des identités) pour réduire les opportunités d'exploitation. | Assurez-vous que node-to-node le chiffrement pour Amazon Elasticsearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| T0553 | Appliquez des fonctions de cybersécurité (par exemple, le chiffrement, le contrôle d'accès et la gestion des identités) pour réduire les opportunités d'exploitation. | Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| T0553 | Appliquez des fonctions de cybersécurité (par exemple, le chiffrement, le contrôle d'accès et la gestion des identités) pour réduire les opportunités d'exploitation. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation | |
| T0553 | Appliquez des fonctions de cybersécurité (par exemple, le chiffrement, le contrôle d'accès et la gestion des identités) pour réduire les opportunités d'exploitation. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège. | |
| T0553 | Appliquez des fonctions de cybersécurité (par exemple, le chiffrement, le contrôle d'accès et la gestion des identités) pour réduire les opportunités d'exploitation. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0553 | Appliquez des fonctions de cybersécurité (par exemple, le chiffrement, le contrôle d'accès et la gestion des identités) pour réduire les opportunités d'exploitation. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
| T0553 | Appliquez des fonctions de cybersécurité (par exemple, le chiffrement, le contrôle d'accès et la gestion des identités) pour réduire les opportunités d'exploitation. | Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0553 | Appliquez des fonctions de cybersécurité (par exemple, le chiffrement, le contrôle d'accès et la gestion des identités) pour réduire les opportunités d'exploitation. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| T0553 | Appliquez des fonctions de cybersécurité (par exemple, le chiffrement, le contrôle d'accès et la gestion des identités) pour réduire les opportunités d'exploitation. | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| T0553 | Appliquez des fonctions de cybersécurité (par exemple, le chiffrement, le contrôle d'accès et la gestion des identités) pour réduire les opportunités d'exploitation. | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité. | |
| T0553 | Appliquez des fonctions de cybersécurité (par exemple, le chiffrement, le contrôle d'accès et la gestion des identités) pour réduire les opportunités d'exploitation. | AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| T0553 | Appliquez des fonctions de cybersécurité (par exemple, le chiffrement, le contrôle d'accès et la gestion des identités) pour réduire les opportunités d'exploitation. | Activez cette règle pour limiter l'accès aux ressources dans le Cloud AWS . Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs. | |
| T0553 | Appliquez des fonctions de cybersécurité (par exemple, le chiffrement, le contrôle d'accès et la gestion des identités) pour réduire les opportunités d'exploitation. | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
| T0553 | Appliquez des fonctions de cybersécurité (par exemple, le chiffrement, le contrôle d'accès et la gestion des identités) pour réduire les opportunités d'exploitation. | AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| T0553 | Appliquez des fonctions de cybersécurité (par exemple, le chiffrement, le contrôle d'accès et la gestion des identités) pour réduire les opportunités d'exploitation. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles. | |
| T0553 | Appliquez des fonctions de cybersécurité (par exemple, le chiffrement, le contrôle d'accès et la gestion des identités) pour réduire les opportunités d'exploitation. | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon Elasticsearch Service (Amazon ES). | |
| T0553 | Appliquez des fonctions de cybersécurité (par exemple, le chiffrement, le contrôle d'accès et la gestion des identités) pour réduire les opportunités d'exploitation. | Assurez-vous que node-to-node le chiffrement pour Amazon Elasticsearch Service est activé. ode-to-node Le chiffrement N active le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (Amazon VPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| T0553 | Appliquez des fonctions de cybersécurité (par exemple, le chiffrement, le contrôle d'accès et la gestion des identités) pour réduire les opportunités d'exploitation. | Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données. | |
| T0553 | Appliquez des fonctions de cybersécurité (par exemple, le chiffrement, le contrôle d'accès et la gestion des identités) pour réduire les opportunités d'exploitation. | Assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans un compartiment Amazon S3, activez le chiffrement au repos pour protéger ces données. | |
| T0553 | Appliquez des fonctions de cybersécurité (par exemple, le chiffrement, le contrôle d'accès et la gestion des identités) pour réduire les opportunités d'exploitation. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker ordinateur portable. Étant donné que des données sensibles peuvent exister au repos dans le SageMaker bloc-notes, activez le chiffrement au repos pour protéger ces données. | |
| T0553 | Appliquez des fonctions de cybersécurité (par exemple, le chiffrement, le contrôle d'accès et la gestion des identités) pour réduire les opportunités d'exploitation. | Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| T0553 | Appliquez des fonctions de cybersécurité (par exemple, le chiffrement, le contrôle d'accès et la gestion des identités) pour réduire les opportunités d'exploitation. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour le cache de votre environnement API Gateway. Étant donné que des données sensibles peuvent être capturées pour la méthode API, activez le chiffrement au repos pour protéger ces données. | |
| T0553 | Appliquez des fonctions de cybersécurité (par exemple, le chiffrement, le contrôle d'accès et la gestion des identités) pour réduire les opportunités d'exploitation. | Assurez-vous que les étapes de l'API REST Amazon API Gateway sont configurées avec des certificats SSL pour permettre aux systèmes backend d'authentifier que les demandes proviennent d'API Gateway. | |
| T0553 | Appliquez des fonctions de cybersécurité (par exemple, le chiffrement, le contrôle d'accès et la gestion des identités) pour réduire les opportunités d'exploitation. | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le cryptage est activé pour vos AWS CloudTrail pistes. | |
| T0553 | Appliquez des fonctions de cybersécurité (par exemple, le chiffrement, le contrôle d'accès et la gestion des identités) pour réduire les opportunités d'exploitation. | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour votre Amazon Elastic File System (EFS). | |
| T0553 | Appliquez des fonctions de cybersécurité (par exemple, le chiffrement, le contrôle d'accès et la gestion des identités) pour réduire les opportunités d'exploitation. | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon Elasticsearch Service (Amazon ES). | |
| T0553 | Appliquez des fonctions de cybersécurité (par exemple, le chiffrement, le contrôle d'accès et la gestion des identités) pour réduire les opportunités d'exploitation. | Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, fournir et déployer des certificats SSL/TLS publics et privés avec des AWS services et des ressources internes. | |
| T0553 | Appliquez des fonctions de cybersécurité (par exemple, le chiffrement, le contrôle d'accès et la gestion des identités) pour réduire les opportunités d'exploitation. | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). | |
| T0553 | Appliquez des fonctions de cybersécurité (par exemple, le chiffrement, le contrôle d'accès et la gestion des identités) pour réduire les opportunités d'exploitation. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos dans les instances Amazon RDS, activez le chiffrement au repos pour protéger ces données. | |
| T0553 | Appliquez des fonctions de cybersécurité (par exemple, le chiffrement, le contrôle d'accès et la gestion des identités) pour réduire les opportunités d'exploitation. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0553 | Appliquez des fonctions de cybersécurité (par exemple, le chiffrement, le contrôle d'accès et la gestion des identités) pour réduire les opportunités d'exploitation. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre cluster Amazon Redshift. Comme il peut y avoir des données sensibles au repos dans les clusters Redshift, activez le chiffrement au repos pour protéger ces données. | |
| T0553 | Appliquez des fonctions de cybersécurité (par exemple, le chiffrement, le contrôle d'accès et la gestion des identités) pour réduire les opportunités d'exploitation. | Assurez-vous que vos clusters Amazon Redshift nécessitent un chiffrement TLS/SSL pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| T0553 | Appliquez des fonctions de cybersécurité (par exemple, le chiffrement, le contrôle d'accès et la gestion des identités) pour réduire les opportunités d'exploitation. | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données. | |
| T0553 | Appliquez des fonctions de cybersécurité (par exemple, le chiffrement, le contrôle d'accès et la gestion des identités) pour réduire les opportunités d'exploitation. | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| T0553 | Appliquez des fonctions de cybersécurité (par exemple, le chiffrement, le contrôle d'accès et la gestion des identités) pour réduire les opportunités d'exploitation. | Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker terminal. Étant donné que les données sensibles peuvent exister au repos sur le SageMaker terminal, activez le chiffrement au repos pour protéger ces données. | |
| T0557 | Intégrez les fonctions de gestion des clés liées au cyberespace. | Activez la rotation des clés pour vous assurer que les clés ont fait l'objet d'une rotation une fois la fin de leur période de chiffrement atteinte. | |
| T0557 | Intégrez les fonctions de gestion des clés liées au cyberespace. | Pour protéger les données au repos, assurez-vous que la suppression des clés principales du client (CMK) nécessaires n'est pas planifiée dans le service de gestion des AWS clés (AWS KMS). La suppression de clés étant parfois nécessaire, cette règle peut aider à vérifier toutes les clés dont la suppression est prévue, au cas où la suppression d'une clé aurait été planifiée par inadvertance. | |
| T0576 | Évaluez les renseignements provenant de toutes les sources et recommandez des cibles destinées à soutenir les objectifs des cyber-opérations. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| T0609 | Permettez l'accès aux réseaux informatiques et numériques sans fil. | Assurez-vous que AWS le WAF est activé sur les Elastic Load Balancers (ELB) pour protéger les applications Web. Un WAF aide à protéger vos applications Web ou API contre les menaces Web courantes. Ces attaques web peuvent affecter la disponibilité, compromettre la sécurité ou consommer des ressources excessives dans votre environnement. | |
| T0609 | Permettez l'accès aux réseaux informatiques et numériques sans fil. | AWS Le WAF vous permet de configurer un ensemble de règles (appelé liste de contrôle d'accès Web (ACL Web)) qui autorisent, bloquent ou comptent les requêtes Web en fonction de règles et de conditions de sécurité Web personnalisables que vous définissez. Assurez-vous que votre étape Amazon API Gateway est associée à une liste ACL Web WAF pour la protéger contre les attaques malveillantes | |
| T0609 | Permettez l'accès aux réseaux informatiques et numériques sans fil. | Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. Les ressources EC2 ne doivent pas être accessibles au public, car cela pourrait permettre un accès imprévu à vos applications ou à vos serveurs. | |
| T0609 | Permettez l'accès aux réseaux informatiques et numériques sans fil. | Gérez l'accès au AWS cloud en vous assurant que les instances de réplication DMS ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| T0609 | Permettez l'accès aux réseaux informatiques et numériques sans fil. | Gérez l'accès au AWS cloud en vous assurant que les instantanés EBS ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| T0609 | Permettez l'accès aux réseaux informatiques et numériques sans fil. | Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| T0609 | Permettez l'accès aux réseaux informatiques et numériques sans fil. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon Elasticsearch Service (Amazon ES) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon ES au sein d'un réseau Amazon VPC permet une communication sécurisée entre Amazon ES et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. | |
| T0609 | Permettez l'accès aux réseaux informatiques et numériques sans fil. | Gérez l'accès au AWS cloud en vous assurant que les nœuds maîtres du cluster Amazon EMR ne sont pas accessibles au public. Les nœuds principaux du cluster Amazon EMR peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| T0609 | Permettez l'accès aux réseaux informatiques et numériques sans fil. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance. | |
| T0609 | Permettez l'accès aux réseaux informatiques et numériques sans fil. | Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès. | |
| T0609 | Permettez l'accès aux réseaux informatiques et numériques sans fil. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources. | |
| T0609 | Permettez l'accès aux réseaux informatiques et numériques sans fil. | Déployez les fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour une communication sécurisée entre une fonction et les autres services au sein d'Amazon VPC. Avec cette configuration, il n'est pas nécessaire d'avoir une passerelle Internet, un périphérique NAT ou une connexion VPN. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un VPC. | |
| T0609 | Permettez l'accès aux réseaux informatiques et numériques sans fil. | Assurez-vous que les tables de routage Amazon EC2 ne disposent pas de routes illimitées vers une passerelle Internet. La suppression ou la limitation de l'accès à Internet pour les charges de travail au sein des réseaux Amazon VPC peut réduire les accès imprévus au sein de votre environnement. | |
| T0609 | Permettez l'accès aux réseaux informatiques et numériques sans fil. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| T0609 | Permettez l'accès aux réseaux informatiques et numériques sans fil. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| T0609 | Permettez l'accès aux réseaux informatiques et numériques sans fil. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| T0609 | Permettez l'accès aux réseaux informatiques et numériques sans fil. | Le routage VPC amélioré oblige tout le trafic COPY et UNLOAD entre le cluster et les référentiels de données à passer par votre réseau Amazon VPC. Vous pouvez ensuite utiliser les fonctionnalités VPC, telles que les groupes de sécurité et les listes de contrôle d'accès réseau, pour sécuriser le trafic réseau. Vous pouvez également utiliser les journaux de flux VPC pour surveiller le trafic réseau. | |
| T0609 | Permettez l'accès aux réseaux informatiques et numériques sans fil. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0609 | Permettez l'accès aux réseaux informatiques et numériques sans fil. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0609 | Permettez l'accès aux réseaux informatiques et numériques sans fil. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| T0609 | Permettez l'accès aux réseaux informatiques et numériques sans fil. | Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| T0609 | Permettez l'accès aux réseaux informatiques et numériques sans fil. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles. | |
| T0609 | Permettez l'accès aux réseaux informatiques et numériques sans fil. | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources. | |
| T0609 | Permettez l'accès aux réseaux informatiques et numériques sans fil. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes. | |
| T0609 | Permettez l'accès aux réseaux informatiques et numériques sans fil. | Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon Elasticsearch Service (Amazon ES) se trouvent dans un Amazon Virtual Private Cloud (Amazon VPC). Un domaine Amazon ES au sein d'un réseau Amazon VPC permet une communication sécurisée entre Amazon ES et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. | |
| T0609 | Permettez l'accès aux réseaux informatiques et numériques sans fil. | Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment. | |
| T0609 | Permettez l'accès aux réseaux informatiques et numériques sans fil. | Gérez l'accès au AWS cloud en vous assurant qu'aucune adresse IP publique n'est automatiquement attribuée aux sous-réseaux Amazon Virtual Private Cloud (VPC). Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale. | |
| T0616 | Effectuez des repérages du réseau et des analyses de vulnérabilité des systèmes au sein d'un réseau. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| T0686 | Identifiez les vulnérabilités aux menaces. | Activez cette règle pour faciliter l'identification et la documentation des vulnérabilités d'Amazon Elastic Compute Cloud (Amazon EC2). La règle vérifie si les correctifs d'instance Amazon EC2 sont conformes dans AWS Systems Manager conformément aux politiques et procédures de votre entreprise. | |
| T0686 | Identifiez les vulnérabilités aux menaces. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| T0706 | Recueillez des informations sur les réseaux à l'aide de techniques traditionnelles et alternatives (par exemple, analyse des réseaux sociaux, chaîne d'appels, analyse du trafic). | Assurez-vous que la durée minimale de conservation des données des journaux d'événements pour vos groupes de journaux est suffisante pour faciliter le dépannage et les enquêtes judiciaires. Le manque de données disponibles dans les journaux d'événements passés complique la reconstitution et l'identification des événements potentiellement malveillants. | |
| T0706 | Recueillez des informations sur les réseaux à l'aide de techniques traditionnelles et alternatives (par exemple, analyse des réseaux sociaux, chaîne d'appels, analyse du trafic). | Assurez-vous que les journaux d'erreurs sont activés dans les domaines du service Amazon Elasticsearch et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité. | |
| T0706 | Recueillez des informations sur les réseaux à l'aide de techniques traditionnelles et alternatives (par exemple, analyse des réseaux sociaux, chaîne d'appels, analyse du trafic). | Cette règle assure que les limites de simultanéité élevées et basses d'une fonction Lambda ont été définies. Elle permet de référencer le nombre de demandes auxquelles votre fonction répond à un moment donné. | |
| T0706 | Recueillez des informations sur les réseaux à l'aide de techniques traditionnelles et alternatives (par exemple, analyse des réseaux sociaux, chaîne d'appels, analyse du trafic). | Activez cette règle pour notifier le personnel concerné par l'intermédiaire d'Amazon Simple Queue Service (Amazon SQS) ou d'Amazon Simple Notification Service (Amazon SNS) en cas d'échec d'une fonction. | |
| T0706 | Recueillez des informations sur les réseaux à l'aide de techniques traditionnelles et alternatives (par exemple, analyse des réseaux sociaux, chaîne d'appels, analyse du trafic). | AWS CloudTrail enregistre les actions AWS de la console de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant l'activité de l'API pour la nouvelle région sans avoir à faire quoi que ce soit. | |
| T0706 | Recueillez des informations sur les réseaux à l'aide de techniques traditionnelles et alternatives (par exemple, analyse des réseaux sociaux, chaîne d'appels, analyse du trafic). | Activez Amazon Relational Database Service (Amazon RDS) pour surveiller la disponibilité d'Amazon RDS. Vous disposez ainsi d'une visibilité détaillée sur l'état de vos instances de base de données Amazon RDS. Lorsque le stockage Amazon RDS utilise plusieurs appareils physiques sous-jacents, Enhanced Monitoring collecte les données pour chaque appareil. En outre, lorsque l'instance de base de données Amazon RDS est exécutée dans le cadre d'un déploiement multi-AZ, les données de chaque appareil sur l'hôte secondaire sont collectées, ainsi que les métriques de l'hôte secondaire. | |
| T0706 | Recueillez des informations sur les réseaux à l'aide de techniques traditionnelles et alternatives (par exemple, analyse des réseaux sociaux, chaîne d'appels, analyse du trafic). | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
| T0706 | Recueillez des informations sur les réseaux à l'aide de techniques traditionnelles et alternatives (par exemple, analyse des réseaux sociaux, chaîne d'appels, analyse du trafic). | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi que des solutions partenaires. AWS | |
| T0706 | Recueillez des informations sur les réseaux à l'aide de techniques traditionnelles et alternatives (par exemple, analyse des réseaux sociaux, chaîne d'appels, analyse du trafic). | Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur les ACL Web régionales et mondiales. AWS La journalisation WAF fournit des informations détaillées sur le trafic analysé par votre ACL Web. Les journaux enregistrent l'heure à laquelle AWS WAF a reçu la demande de votre AWS ressource, des informations sur la demande et une action pour la règle à laquelle chaque demande correspondait. | |
| T0706 | Recueillez des informations sur les réseaux à l'aide de techniques traditionnelles et alternatives (par exemple, analyse des réseaux sociaux, chaîne d'appels, analyse du trafic). | La journalisation d'API Gateway affiche des vues détaillées des utilisateurs qui ont accédé à l'API et de la manière dont ils y ont accédé. Ces informations offrent une visibilité sur les activités des utilisateurs. | |
| T0706 | Recueillez des informations sur les réseaux à l'aide de techniques traditionnelles et alternatives (par exemple, analyse des réseaux sociaux, chaîne d'appels, analyse du trafic). | La surveillance de l'état Elastic Load Balancer (ELB) pour les groupes Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) permet de maintenir une capacité et une disponibilité adéquates. L'équilibreur de charge envoie périodiquement des pings, effectue des tentatives de connexion ou adresse des demandes pour tester l'état des instances Amazon EC2 dans un groupe Auto Scaling. Si une instance ne renvoie pas de rapport, le trafic est envoyé à une nouvelle instance Amazon EC2. | |
| T0706 | Recueillez des informations sur les réseaux à l'aide de techniques traditionnelles et alternatives (par exemple, analyse des réseaux sociaux, chaîne d'appels, analyse du trafic). | AWS Les rapports de santé améliorés d'Elastic Beanstalk permettent de réagir plus rapidement aux modifications de l'état de santé de l'infrastructure sous-jacente. Ces modifications peuvent entraîner un manque de disponibilité de l'application. Les rapports d'état améliorés Elastic Beanstalk fournissent un descripteur d'état permettant d'évaluer la gravité des problèmes identifiés et d'identifier les causes possibles à étudier. | |
| T0706 | Recueillez des informations sur les réseaux à l'aide de techniques traditionnelles et alternatives (par exemple, analyse des réseaux sociaux, chaîne d'appels, analyse du trafic). | Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des appels d'API au sein de votre Compte AWS. | |
| T0706 | Recueillez des informations sur les réseaux à l'aide de techniques traditionnelles et alternatives (par exemple, analyse des réseaux sociaux, chaîne d'appels, analyse du trafic). | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de la console AWS de gestion et les appels d'API. Vous pouvez identifier les utilisateurs et la Comptes AWS personne qui a appelé un AWS service, l'adresse IP source à laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont affichés dans le contenu de l' AWS CloudTrail enregistrement. | |
| T0706 | Recueillez des informations sur les réseaux à l'aide de techniques traditionnelles et alternatives (par exemple, analyse des réseaux sociaux, chaîne d'appels, analyse du trafic). | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du compte AWS qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
| T0706 | Recueillez des informations sur les réseaux à l'aide de techniques traditionnelles et alternatives (par exemple, analyse des réseaux sociaux, chaîne d'appels, analyse du trafic). | Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement. | |
| T0706 | Recueillez des informations sur les réseaux à l'aide de techniques traditionnelles et alternatives (par exemple, analyse des réseaux sociaux, chaîne d'appels, analyse du trafic). | Activez cette règle pour vous assurer que la capacité de débit allouée est vérifiée sur vos tables Amazon DynamoDB. Il s'agit du volume d'activité de lecture/d'écriture que chaque table peut prendre en charge. DynamoDB utilise ces informations pour réserver des ressources système suffisantes pour répondre à vos exigences de débit. Cette règle génère une alerte lorsque le débit approche de la limite maximale pour le compte d'un client. Cette règle vous permet de définir éventuellement les paramètres AccountRCU (ThresholdPercentage Config Default : 80) et AccountWCU ThresholdPercentage (Config Default : 80). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0706 | Recueillez des informations sur les réseaux à l'aide de techniques traditionnelles et alternatives (par exemple, analyse des réseaux sociaux, chaîne d'appels, analyse du trafic). | Activez cette règle pour améliorer la surveillance des instances Amazon Elastic Compute Cloud (Amazon EC2) sur la console Amazon EC2, qui affiche des graphiques de surveillance toutes les minutes pour l'instance. | |
| T0706 | Recueillez des informations sur les réseaux à l'aide de techniques traditionnelles et alternatives (par exemple, analyse des réseaux sociaux, chaîne d'appels, analyse du trafic). | L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. | |
| T0706 | Recueillez des informations sur les réseaux à l'aide de techniques traditionnelles et alternatives (par exemple, analyse des réseaux sociaux, chaîne d'appels, analyse du trafic). | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| T0706 | Recueillez des informations sur les réseaux à l'aide de techniques traditionnelles et alternatives (par exemple, analyse des réseaux sociaux, chaîne d'appels, analyse du trafic). | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default : TRUE) et LoggingEnabled (Config Default : TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0706 | Recueillez des informations sur les réseaux à l'aide de techniques traditionnelles et alternatives (par exemple, analyse des réseaux sociaux, chaîne d'appels, analyse du trafic). | La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant. | |
| T0706 | Recueillez des informations sur les réseaux à l'aide de techniques traditionnelles et alternatives (par exemple, analyse des réseaux sociaux, chaîne d'appels, analyse du trafic). | Les journaux de flux VPC fournissent des informations détaillées sur le trafic IP circulant vers et depuis les interfaces réseau de votre réseau Amazon Virtual Private Cloud (Amazon VPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole. | |
| T0777 | Établissez le profil des administrateurs de réseaux ou de systèmes et de leurs activités. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| T0805 | Signalez les événements et les intrusions réseau importants provenant de renseignements. | Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes d'adresses IP malveillantes et de l'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud. | |
| T0877 | Travaillez en coopération avec les unités compétentes de l'organisation pour superviser les droits d'accès aux informations des consommateurs | Les profils d'instance EC2 transmettent un rôle IAM à une instance EC2. L'association d'un profil d'instance à vos instances peut faciliter la gestion du moindre privilège et des autorisations. | |
| T0877 | Travaillez en coopération avec les unités compétentes de l'organisation pour superviser les droits d'accès aux informations des consommateurs | Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges. | |
| T0877 | Travaillez en coopération avec les unités compétentes de l'organisation pour superviser les droits d'accès aux informations des consommateurs | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
| T0877 | Travaillez en coopération avec les unités compétentes de l'organisation pour superviser les droits d'accès aux informations des consommateurs | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| T0877 | Travaillez en coopération avec les unités compétentes de l'organisation pour superviser les droits d'accès aux informations des consommateurs | Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
| T0877 | Travaillez en coopération avec les unités compétentes de l'organisation pour superviser les droits d'accès aux informations des consommateurs | Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal. | |
| T0877 | Travaillez en coopération avec les unités compétentes de l'organisation pour superviser les droits d'accès aux informations des consommateurs | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège. | |
| T0877 | Travaillez en coopération avec les unités compétentes de l'organisation pour superviser les droits d'accès aux informations des consommateurs | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| T0877 | Travaillez en coopération avec les unités compétentes de l'organisation pour superviser les droits d'accès aux informations des consommateurs | AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| T0877 | Travaillez en coopération avec les unités compétentes de l'organisation pour superviser les droits d'accès aux informations des consommateurs | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
| T0877 | Travaillez en coopération avec les unités compétentes de l'organisation pour superviser les droits d'accès aux informations des consommateurs | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet éventuellement de définir les paramètres blockedPort1 à blockedPort5 (configuration par défaut : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0935 | Effectuez une évaluation des risques en matière de sécurité de l'information. | annual-risk-assessment-performed (vérification du processus) | Effectuez une évaluation annuelle des risques au sein de votre organisation. Les évaluations des risques peuvent aider à déterminer la probabilité et l'impact des risques et/ou des vulnérabilités identifiés sur une organisation. |
| T0960 | Surveillez les modifications apportées à un système et à son environnement de fonctionnement. | Cette règle assure que les limites de simultanéité élevées et basses d'une fonction Lambda ont été définies. Elle permet de référencer le nombre de demandes auxquelles votre fonction répond à un moment donné. | |
| T0960 | Surveillez les modifications apportées à un système et à son environnement de fonctionnement. | Activez cette règle pour notifier le personnel concerné par l'intermédiaire d'Amazon Simple Queue Service (Amazon SQS) ou d'Amazon Simple Notification Service (Amazon SNS) en cas d'échec d'une fonction. | |
| T0960 | Surveillez les modifications apportées à un système et à son environnement de fonctionnement. | Activez Amazon Relational Database Service (Amazon RDS) pour surveiller la disponibilité d'Amazon RDS. Vous disposez ainsi d'une visibilité détaillée sur l'état de vos instances de base de données Amazon RDS. Lorsque le stockage Amazon RDS utilise plusieurs appareils physiques sous-jacents, Enhanced Monitoring collecte les données pour chaque appareil. En outre, lorsque l'instance de base de données Amazon RDS est exécutée dans le cadre d'un déploiement multi-AZ, les données de chaque appareil sur l'hôte secondaire sont collectées, ainsi que les métriques de l'hôte secondaire. | |
| T0960 | Surveillez les modifications apportées à un système et à son environnement de fonctionnement. | La surveillance de l'état Elastic Load Balancer (ELB) pour les groupes Auto Scaling Amazon Elastic Compute Cloud (Amazon EC2) permet de maintenir une capacité et une disponibilité adéquates. L'équilibreur de charge envoie périodiquement des pings, effectue des tentatives de connexion ou adresse des demandes pour tester l'état des instances Amazon EC2 dans un groupe Auto Scaling. Si une instance ne renvoie pas de rapport, le trafic est envoyé à une nouvelle instance Amazon EC2. | |
| T0960 | Surveillez les modifications apportées à un système et à son environnement de fonctionnement. | AWS Les rapports de santé améliorés d'Elastic Beanstalk permettent de réagir plus rapidement aux modifications de l'état de santé de l'infrastructure sous-jacente. Ces modifications peuvent entraîner un manque de disponibilité de l'application. Les rapports d'état améliorés Elastic Beanstalk fournissent un descripteur d'état permettant d'évaluer la gravité des problèmes identifiés et d'identifier les causes possibles à étudier. | |
| T0960 | Surveillez les modifications apportées à un système et à son environnement de fonctionnement. | Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement. | |
| T0960 | Surveillez les modifications apportées à un système et à son environnement de fonctionnement. | Activez cette règle pour vous assurer que la capacité de débit allouée est vérifiée sur vos tables Amazon DynamoDB. Il s'agit du volume d'activité de lecture/d'écriture que chaque table peut prendre en charge. DynamoDB utilise ces informations pour réserver des ressources système suffisantes pour répondre à vos exigences de débit. Cette règle génère une alerte lorsque le débit approche de la limite maximale pour le compte d'un client. Cette règle vous permet de définir éventuellement les paramètres AccountRCU (ThresholdPercentage Config Default : 80) et AccountWCU ThresholdPercentage (Config Default : 80). Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0960 | Surveillez les modifications apportées à un système et à son environnement de fonctionnement. | Activez cette règle pour améliorer la surveillance des instances Amazon Elastic Compute Cloud (Amazon EC2) sur la console Amazon EC2, qui affiche des graphiques de surveillance toutes les minutes pour l'instance. | |
| T0992 | Déterminez comment les résultats de la surveillance continue seront utilisés dans le cadre de l'autorisation permanente. | Les profils d'instance EC2 transmettent un rôle IAM à une instance EC2. L'association d'un profil d'instance à vos instances peut faciliter la gestion du moindre privilège et des autorisations. | |
| T0992 | Déterminez comment les résultats de la surveillance continue seront utilisés dans le cadre de l'autorisation permanente. | Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges. | |
| T0992 | Déterminez comment les résultats de la surveillance continue seront utilisés dans le cadre de l'autorisation permanente. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
| T0992 | Déterminez comment les résultats de la surveillance continue seront utilisés dans le cadre de l'autorisation permanente. | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| T0992 | Déterminez comment les résultats de la surveillance continue seront utilisés dans le cadre de l'autorisation permanente. | Les informations d'identification sont auditées pour les appareils, les utilisateurs et les processus autorisés en veillant à ce que les clés d'accès IAM soient alternées conformément à la politique de l'organisation. La modification régulière des clés d'accès est une bonne pratique de sécurité. Cela permet de raccourcir la période pendant laquelle une clé d'accès est active et de réduire l'impact commercial en cas de compromission des clés. Cette règle nécessite une valeur de rotation des clés d'accès (configuration par défaut : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| T0992 | Déterminez comment les résultats de la surveillance continue seront utilisés dans le cadre de l'autorisation permanente. | Les autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon EMR. Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est connu sous le nom de centre de diffusion des clés (KDC). Il fournit aux principaux un moyen de s'authentifier. Le KDC s'authentifie en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal. | |
| T0992 | Déterminez comment les résultats de la surveillance continue seront utilisés dans le cadre de l'autorisation permanente. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation | |
| T0992 | Déterminez comment les résultats de la surveillance continue seront utilisés dans le cadre de l'autorisation permanente. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège. | |
| T0992 | Déterminez comment les résultats de la surveillance continue seront utilisés dans le cadre de l'autorisation permanente. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0992 | Déterminez comment les résultats de la surveillance continue seront utilisés dans le cadre de l'autorisation permanente. | Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0992 | Déterminez comment les résultats de la surveillance continue seront utilisés dans le cadre de l'autorisation permanente. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| T0992 | Déterminez comment les résultats de la surveillance continue seront utilisés dans le cadre de l'autorisation permanente. | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité. | |
| T0992 | Déterminez comment les résultats de la surveillance continue seront utilisés dans le cadre de l'autorisation permanente. | AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| T0992 | Déterminez comment les résultats de la surveillance continue seront utilisés dans le cadre de l'autorisation permanente. | Activez cette règle pour limiter l'accès aux ressources dans le Cloud AWS . Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs. | |
| T0992 | Déterminez comment les résultats de la surveillance continue seront utilisés dans le cadre de l'autorisation permanente. | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
| T0992 | Déterminez comment les résultats de la surveillance continue seront utilisés dans le cadre de l'autorisation permanente. | AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| T0992 | Déterminez comment les résultats de la surveillance continue seront utilisés dans le cadre de l'autorisation permanente. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles. | |
| T0992 | Déterminez comment les résultats de la surveillance continue seront utilisés dans le cadre de l'autorisation permanente. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. La MFA ajoute une couche supplémentaire de protection pour les informations d'identification de connexion En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
| T0992 | Déterminez comment les résultats de la surveillance continue seront utilisés dans le cadre de l'autorisation permanente. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
| T0992 | Déterminez comment les résultats de la surveillance continue seront utilisés dans le cadre de l'autorisation permanente. | Cette règle garantit que la rotation AWS des secrets de Secrets Manager est activée. La rotation régulière des secrets peut raccourcir la période pendant laquelle un secret est actif et potentiellement réduire l'impact commercial s'il est compromis. | |
| T0993 | Mettez en place des outils de surveillance continue et des procédures de contrôle des accès aux technologies. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les AWS clés du Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation | |
| T0993 | Mettez en place des outils de surveillance continue et des procédures de contrôle des accès aux technologies. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que les groupes IAM comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège. | |
| T0993 | Mettez en place des outils de surveillance continue et des procédures de contrôle des accès aux technologies. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée autorisant le blocage d'actions sur toutes les clés du service de gestion des clés. AWS AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions, la restauration, ainsi que la délégation de la gestion des autorisations. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms : From). ReEncrypt Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0993 | Mettez en place des outils de surveillance continue et des procédures de contrôle des accès aux technologies. | Assurez-vous qu'un utilisateur, un rôle IAM ou un groupe IAM ( AWS Identity and Access Management) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations. | |
| T0993 | Mettez en place des outils de surveillance continue et des procédures de contrôle des accès aux technologies. | Les identités et les informations d'identification sont émises, gérées et vérifiées conformément à une politique de mot de passe IAM organisationnelle. Ils respectent ou dépassent les exigences énoncées par le NIST SP 800-63 et par la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAM Politique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation. | |
| T0993 | Mettez en place des outils de surveillance continue et des procédures de contrôle des accès aux technologies. | AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Autoriser » avec « Action » : « * » plutôt que « Ressource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| T0993 | Mettez en place des outils de surveillance continue et des procédures de contrôle des accès aux technologies. | Assurez-vous que les actions IAM sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| T0993 | Mettez en place des outils de surveillance continue et des procédures de contrôle des accès aux technologies. | L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son AWS rôle Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité. | |
| T0993 | Mettez en place des outils de surveillance continue et des procédures de contrôle des accès aux technologies. | AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. | |
| T0993 | Mettez en place des outils de surveillance continue et des procédures de contrôle des accès aux technologies. | Cette règle garantit que les politiques AWS Identity and Access Management (IAM) ne sont associées qu'à des groupes ou à des rôles afin de contrôler l'accès aux systèmes et aux actifs. L'attribution de privilèges au niveau du groupe ou du rôle permet de réduire les risques qu'une identité reçoive ou conserve des privilèges excessifs. | |
| T0993 | Mettez en place des outils de surveillance continue et des procédures de contrôle des accès aux technologies. | AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les mots de passe et les clés d'accès IAM qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation. | |
| T0993 | Mettez en place des outils de surveillance continue et des procédures de contrôle des accès aux technologies. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. La MFA ajoute une couche supplémentaire de protection, en plus des informations d'identification de connexion. En exigeant la MFA pour les utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles. | |
| T0993 | Mettez en place des outils de surveillance continue et des procédures de contrôle des accès aux technologies. | Activez cette règle pour limiter l'accès aux ressources dans le Cloud AWS . Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Réduisez les incidents de comptes compromis en imposant la MFA aux utilisateurs. | |
| T0993 | Mettez en place des outils de surveillance continue et des procédures de contrôle des accès aux technologies. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. La MFA ajoute une couche supplémentaire de protection pour les informations d'identification de connexion En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS | |
| T0993 | Mettez en place des outils de surveillance continue et des procédures de contrôle des accès aux technologies. | Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire pour un nom d'utilisateur et un mot de passe. En exigeant l'authentification MFA pour l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission. Comptes AWS |
Modèle
Le modèle est disponible sur GitHub : Operational Best Practices for NIST 800 181
