Meilleures pratiques opérationnelles pour le pilier de sécurité du AWS framework Well-Architected - AWS Config

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Meilleures pratiques opérationnelles pour le pilier de sécurité du AWS framework Well-Architected

Les packs de conformité fournissent un cadre de conformité à usage général conçu pour vous permettre de créer des contrôles de gouvernance en matière de sécurité, d'exploitation ou d'optimisation des coûts à l'aide de AWS Config règles gérées ou personnalisées et d'actions correctives. AWS Config Les packs de conformité, en tant qu'exemples de modèle, ne sont pas conçus pour garantir pleinement la conformité à une norme de gouvernance ou de conformité spécifique. Il vous incombe de déterminer vous-même si votre utilisation des services est conforme aux exigences légales et réglementaires applicables.

Vous trouverez ci-dessous un exemple de mappage entre le pilier de sécurité Well-Architected Framework d'Amazon Web Services et AWS les règles de configuration gérées. Chaque règle de Config s'applique à une AWS ressource spécifique et concerne un ou plusieurs principes de conception du pilier. Une catégorie de cadre Well-Architected peut être associée à plusieurs règles de configuration. Reportez-vous au tableau ci-dessous pour obtenir plus de détails et des conseils relatifs à ces mappages.

ID du contrôle Description du contrôle AWS Règle de configuration Conseils
SEC-1 Comment gérer votre charge de travail en toute sécurité ? Pour gérer votre charge de travail en toute sécurité, vous devez appliquer les bonnes pratiques générales à tous les domaines de sécurité. Prenez les exigences et les processus que vous avez définis dans le cadre de l'excellence opérationnelle au niveau de l'organisation et de la charge de travail, et appliquez-les à tous les domaines. Le fait de rester à jour avec AWS les recommandations du secteur et les informations sur les menaces vous permet de faire évoluer votre modèle de menace et vos objectifs de contrôle. L'automatisation des processus de sécurité, des tests et de la validation vous permet de mettre à l'échelle vos opérations de sécurité.

account-part-of-organizations

La gestion centralisée Comptes AWS au sein des AWS Organisations permet de garantir la conformité des comptes. L'absence de gouvernance centralisée des comptes peut entraîner des configurations de comptes incohérentes, ce qui peut exposer des ressources et des données sensibles.
SEC-1 Comment gérer votre charge de travail en toute sécurité ? Pour gérer votre charge de travail en toute sécurité, vous devez appliquer les bonnes pratiques générales à tous les domaines de sécurité. Prenez les exigences et les processus que vous avez définis dans le cadre de l'excellence opérationnelle au niveau de l'organisation et de la charge de travail, et appliquez-les à tous les domaines. Le fait de rester à jour avec AWS les recommandations du secteur et les informations sur les menaces vous permet de faire évoluer votre modèle de menace et vos objectifs de contrôle. L'automatisation des processus de sécurité, des tests et de la validation vous permet de mettre à l'échelle vos opérations de sécurité.

mfa-enabled-for-iam-accès à la console

Gérez l'accès aux ressources dans le AWS cloud en vous assurant qu'il MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. MFAajoute une couche de protection supplémentaire en plus des informations de connexion. En exigeant MFA des utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles.
SEC-1 Comment gérer votre charge de travail en toute sécurité ? Pour gérer votre charge de travail en toute sécurité, vous devez appliquer les bonnes pratiques générales à tous les domaines de sécurité. Prenez les exigences et les processus que vous avez définis dans le cadre de l'excellence opérationnelle au niveau de l'organisation et de la charge de travail, et appliquez-les à tous les domaines. Le fait de rester à jour avec AWS les recommandations du secteur et les informations sur les menaces vous permet de faire évoluer votre modèle de menace et vos objectifs de contrôle. L'automatisation des processus de sécurité, des tests et de la validation vous permet de mettre à l'échelle vos opérations de sécurité.

iam-user-mfa-enabled

Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. MFAajoute une couche de protection supplémentaire en plus des informations de connexion. Réduisez le nombre d'incidents liés à des comptes compromis en exigeant MFA des utilisateurs.
SEC-1 Comment gérer votre charge de travail en toute sécurité ? Pour gérer votre charge de travail en toute sécurité, vous devez appliquer les bonnes pratiques générales à tous les domaines de sécurité. Prenez les exigences et les processus que vous avez définis dans le cadre de l'excellence opérationnelle au niveau de l'organisation et de la charge de travail, et appliquez-les à tous les domaines. Le fait de rester à jour avec AWS les recommandations du secteur et les informations sur les menaces vous permet de faire évoluer votre modèle de menace et vos objectifs de contrôle. L'automatisation des processus de sécurité, des tests et de la validation vous permet de mettre à l'échelle vos opérations de sécurité.

iam-root-access-key-vérifier

L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son rôle AWS Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
SEC-1 Comment gérer votre charge de travail en toute sécurité ? Pour gérer votre charge de travail en toute sécurité, vous devez appliquer les bonnes pratiques générales à tous les domaines de sécurité. Prenez les exigences et les processus que vous avez définis dans le cadre de l'excellence opérationnelle au niveau de l'organisation et de la charge de travail, et appliquez-les à tous les domaines. Le fait de rester à jour avec AWS les recommandations du secteur et les informations sur les menaces vous permet de faire évoluer votre modèle de menace et vos objectifs de contrôle. L'automatisation des processus de sécurité, des tests et de la validation vous permet de mettre à l'échelle vos opérations de sécurité.

root-account-hardware-mfa-activé

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. Cela MFA ajoute une couche de protection supplémentaire pour les informations de connexion. En exigeant l'MFAaccès à l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission Comptes AWS.
SEC-1 Comment gérer votre charge de travail en toute sécurité ? Pour gérer votre charge de travail en toute sécurité, vous devez appliquer les bonnes pratiques générales à tous les domaines de sécurité. Prenez les exigences et les processus que vous avez définis dans le cadre de l'excellence opérationnelle au niveau de l'organisation et de la charge de travail, et appliquez-les à tous les domaines. Le fait de rester à jour avec AWS les recommandations du secteur et les informations sur les menaces vous permet de faire évoluer votre modèle de menace et vos objectifs de contrôle. L'automatisation des processus de sécurité, des tests et de la validation vous permet de mettre à l'échelle vos opérations de sécurité.

root-account-mfa-enabled

Gérez l'accès aux ressources dans le AWS cloud en vous assurant MFA qu'il est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. Cela MFA ajoute une couche de protection supplémentaire pour les informations de connexion. En exigeant l'MFAaccès à l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission Comptes AWS.
SEC-1 Comment gérer votre charge de travail en toute sécurité ? Pour gérer votre charge de travail en toute sécurité, vous devez appliquer les bonnes pratiques générales à tous les domaines de sécurité. Prenez les exigences et les processus que vous avez définis dans le cadre de l'excellence opérationnelle au niveau de l'organisation et de la charge de travail, et appliquez-les à tous les domaines. Le fait de rester à jour avec AWS les recommandations du secteur et les informations sur les menaces vous permet de faire évoluer votre modèle de menace et vos objectifs de contrôle. L'automatisation des processus de sécurité, des tests et de la validation vous permet de mettre à l'échelle vos opérations de sécurité.

ec2- -manager instance-managed-by-systems

Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (AmazonEC2) avec AWS Systems Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement.
SEC-1 Comment gérer votre charge de travail en toute sécurité ? Pour gérer votre charge de travail en toute sécurité, vous devez appliquer les bonnes pratiques générales à tous les domaines de sécurité. Prenez les exigences et les processus que vous avez définis dans le cadre de l'excellence opérationnelle au niveau de l'organisation et de la charge de travail, et appliquez-les à tous les domaines. Le fait de rester à jour avec AWS les recommandations du secteur et les informations sur les menaces vous permet de faire évoluer votre modèle de menace et vos objectifs de contrôle. L'automatisation des processus de sécurité, des tests et de la validation vous permet de mettre à l'échelle vos opérations de sécurité.

ec2- -check managedinstance-association-compliance-status

Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des niveaux de référence pour les niveaux de correctifs du système d'exploitation, les installations de logiciels, les configurations d'applications et d'autres informations relatives à votre environnement.
SEC-1 Comment gérer votre charge de travail en toute sécurité ? Pour gérer votre charge de travail en toute sécurité, vous devez appliquer les bonnes pratiques générales à tous les domaines de sécurité. Prenez les exigences et les processus que vous avez définis dans le cadre de l'excellence opérationnelle au niveau de l'organisation et de la charge de travail, et appliquez-les à tous les domaines. Le fait de rester à jour avec AWS les recommandations du secteur et les informations sur les menaces vous permet de faire évoluer votre modèle de menace et vos objectifs de contrôle. L'automatisation des processus de sécurité, des tests et de la validation vous permet de mettre à l'échelle vos opérations de sécurité.

ec2- -check managedinstance-patch-compliance-status

Activez cette règle pour faciliter l'identification et la documentation des vulnérabilités d'Amazon Elastic Compute Cloud (AmazonEC2). La règle vérifie si les correctifs d'EC2instance Amazon sont conformes dans AWS Systems Manager conformément aux politiques et procédures de votre entreprise.
SEC-1 Comment gérer votre charge de travail en toute sécurité ? Pour gérer votre charge de travail en toute sécurité, vous devez appliquer les bonnes pratiques générales à tous les domaines de sécurité. Prenez les exigences et les processus que vous avez définis dans le cadre de l'excellence opérationnelle au niveau de l'organisation et de la charge de travail, et appliquez-les à tous les domaines. Le fait de rester à jour avec AWS les recommandations du secteur et les informations sur les menaces vous permet de faire évoluer votre modèle de menace et vos objectifs de contrôle. L'automatisation des processus de sécurité, des tests et de la validation vous permet de mettre à l'échelle vos opérations de sécurité.

codebuild-project-envvar-awscred-vérifier

Assurez-vous que les informations d'authentification AWS ACCESS _ _ KEY _ID et AWS _ _ SECRET ACCESS _ n'KEYexistent pas dans les environnements de projet AWS Codebuild. Ne stockez pas ces variables en clair. Le stockage de ces variables en clair entraîne une exposition involontaire des données et un accès non autorisé.
SEC-2 Comment gérer les identités des personnes et des machines ? Il existe deux types d'identités que vous devez gérer lorsque vous abordez des AWS charges de travail sécurisées. Comprendre le type d'identité dont vous avez besoin pour gérer et accorder les accès vous permet de vous assurer que les bonnes identités ont accès aux bonnes ressources dans les bonnes conditions. Identités humaines : vos administrateurs, développeurs, opérateurs et utilisateurs finaux ont besoin d'une identité pour accéder à vos AWS environnements et à vos applications. Il s'agit de membres de votre organisation ou d'utilisateurs externes avec lesquels vous collaborez et qui interagissent avec vos AWS ressources à partir d'un navigateur Web, d'une application cliente ou d'outils de ligne de commande interactifs. Identités des machines : vos applications de service, vos outils opérationnels et vos charges de travail ont besoin d'une identité pour envoyer des demandes aux AWS services, par exemple pour lire des données. Ces identités incluent les machines exécutées dans votre AWS environnement, telles que les EC2 instances Amazon ou les fonctions AWS Lambda. Vous pouvez également gérer les Identités machine pour les parties externes qui ont besoin d'un accès. En outre, il se peut AWS que des machines extérieures aient besoin d'accéder à votre AWS environnement.

iam-password-policy

Les identités et les informations d'identification sont émises, gérées et vérifiées sur la base d'une politique de IAM mot de passe organisationnelle. Ils respectent ou dépassent les exigences énoncées dans le NIST SP 800-63 et dans la norme AWS Foundational Security Best Practices en matière de robustesse des mots de passe. Cette règle vous permet de définir éventuellement RequireUppercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireLowercaseCharacters (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireSymbols (valeur des meilleures pratiques de sécurité de AWS base : vrai), RequireNumbers (valeur des meilleures pratiques de sécurité de AWS base : vrai), MinimumPasswordLength (valeur des meilleures pratiques de sécurité de AWS base : 14), PasswordReusePrevention (valeur des meilleures pratiques de sécurité de AWS base : 24) et MaxPasswordAge (valeur des meilleures pratiques de sécurité de AWS base : 90) pour votre IAMPolitique de mot de passe. Les valeurs réelles doivent refléter les politiques de votre organisation.
SEC-2 Comment gérer les identités des personnes et des machines ? Il existe deux types d'identités que vous devez gérer lorsque vous abordez des AWS charges de travail sécurisées. Comprendre le type d'identité dont vous avez besoin pour gérer et accorder les accès vous permet de vous assurer que les bonnes identités ont accès aux bonnes ressources dans les bonnes conditions. Identités humaines : vos administrateurs, développeurs, opérateurs et utilisateurs finaux ont besoin d'une identité pour accéder à vos AWS environnements et à vos applications. Il s'agit de membres de votre organisation ou d'utilisateurs externes avec lesquels vous collaborez et qui interagissent avec vos AWS ressources à partir d'un navigateur Web, d'une application cliente ou d'outils de ligne de commande interactifs. Identités des machines : vos applications de service, vos outils opérationnels et vos charges de travail ont besoin d'une identité pour envoyer des demandes aux AWS services, par exemple pour lire des données. Ces identités incluent les machines exécutées dans votre AWS environnement, telles que les EC2 instances Amazon ou les fonctions AWS Lambda. Vous pouvez également gérer les Identités machine pour les parties externes qui ont besoin d'un accès. En outre, il se peut AWS que des machines extérieures aient besoin d'accéder à votre AWS environnement.

root-account-hardware-mfa-activé

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que le matériel MFA est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. Cela MFA ajoute une couche de protection supplémentaire pour les informations de connexion. En exigeant l'MFAaccès à l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission Comptes AWS.
SEC-2 Comment gérer les identités des personnes et des machines ? Il existe deux types d'identités que vous devez gérer lorsque vous abordez des AWS charges de travail sécurisées. Comprendre le type d'identité dont vous avez besoin pour gérer et accorder les accès vous permet de vous assurer que les bonnes identités ont accès aux bonnes ressources dans les bonnes conditions. Identités humaines : vos administrateurs, développeurs, opérateurs et utilisateurs finaux ont besoin d'une identité pour accéder à vos AWS environnements et à vos applications. Il s'agit de membres de votre organisation ou d'utilisateurs externes avec lesquels vous collaborez et qui interagissent avec vos AWS ressources à partir d'un navigateur Web, d'une application cliente ou d'outils de ligne de commande interactifs. Identités des machines : vos applications de service, vos outils opérationnels et vos charges de travail ont besoin d'une identité pour envoyer des demandes aux AWS services, par exemple pour lire des données. Ces identités incluent les machines exécutées dans votre AWS environnement, telles que les EC2 instances Amazon ou les fonctions AWS Lambda. Vous pouvez également gérer les Identités machine pour les parties externes qui ont besoin d'un accès. En outre, il se peut AWS que des machines extérieures aient besoin d'accéder à votre AWS environnement.

root-account-mfa-enabled

Gérez l'accès aux ressources dans le AWS cloud en vous assurant MFA qu'il est activé pour l'utilisateur root. L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. Cela MFA ajoute une couche de protection supplémentaire pour les informations de connexion. En exigeant l'MFAaccès à l'utilisateur root, vous pouvez réduire le nombre d'incidents de compromission Comptes AWS.
SEC-2 Comment gérer les identités des personnes et des machines ? Il existe deux types d'identités que vous devez gérer lorsque vous abordez des AWS charges de travail sécurisées. Comprendre le type d'identité dont vous avez besoin pour gérer et accorder les accès vous permet de vous assurer que les bonnes identités ont accès aux bonnes ressources dans les bonnes conditions. Identités humaines : vos administrateurs, développeurs, opérateurs et utilisateurs finaux ont besoin d'une identité pour accéder à vos AWS environnements et à vos applications. Il s'agit de membres de votre organisation ou d'utilisateurs externes avec lesquels vous collaborez et qui interagissent avec vos AWS ressources à partir d'un navigateur Web, d'une application cliente ou d'outils de ligne de commande interactifs. Identités des machines : vos applications de service, vos outils opérationnels et vos charges de travail ont besoin d'une identité pour envoyer des demandes aux AWS services, par exemple pour lire des données. Ces identités incluent les machines exécutées dans votre AWS environnement, telles que les EC2 instances Amazon ou les fonctions AWS Lambda. Vous pouvez également gérer les Identités machine pour les parties externes qui ont besoin d'un accès. En outre, il se peut AWS que des machines extérieures aient besoin d'accéder à votre AWS environnement.

iam-user-mfa-enabled

Activez cette règle pour restreindre l'accès aux ressources dans le AWS cloud. Cette règle garantit que l'authentification multifactorielle (MFA) est activée pour tous les utilisateurs. MFAajoute une couche de protection supplémentaire en plus des informations de connexion. Réduisez le nombre d'incidents liés à des comptes compromis en exigeant MFA des utilisateurs.
SEC-2 Comment gérer les identités des personnes et des machines ? Il existe deux types d'identités que vous devez gérer lorsque vous abordez des AWS charges de travail sécurisées. Comprendre le type d'identité dont vous avez besoin pour gérer et accorder les accès vous permet de vous assurer que les bonnes identités ont accès aux bonnes ressources dans les bonnes conditions. Identités humaines : vos administrateurs, développeurs, opérateurs et utilisateurs finaux ont besoin d'une identité pour accéder à vos AWS environnements et à vos applications. Il s'agit de membres de votre organisation ou d'utilisateurs externes avec lesquels vous collaborez et qui interagissent avec vos AWS ressources à partir d'un navigateur Web, d'une application cliente ou d'outils de ligne de commande interactifs. Identités des machines : vos applications de service, vos outils opérationnels et vos charges de travail ont besoin d'une identité pour envoyer des demandes aux AWS services, par exemple pour lire des données. Ces identités incluent les machines exécutées dans votre AWS environnement, telles que les EC2 instances Amazon ou les fonctions AWS Lambda. Vous pouvez également gérer les Identités machine pour les parties externes qui ont besoin d'un accès. En outre, il se peut AWS que des machines extérieures aient besoin d'accéder à votre AWS environnement.

mfa-enabled-for-iam-accès à la console

Gérez l'accès aux ressources dans le AWS cloud en vous assurant qu'il MFA est activé pour tous les utilisateurs AWS d'Identity and Access Management (IAM) dotés d'un mot de passe de console. MFAajoute une couche de protection supplémentaire en plus des informations de connexion. En exigeant MFA des utilisateurs, vous pouvez réduire les incidents liés à des comptes compromis et empêcher les utilisateurs non autorisés d'accéder aux données sensibles.
SEC-2 Comment gérer les identités des personnes et des machines ? Il existe deux types d'identités que vous devez gérer lorsque vous abordez des AWS charges de travail sécurisées. Comprendre le type d'identité dont vous avez besoin pour gérer et accorder les accès vous permet de vous assurer que les bonnes identités ont accès aux bonnes ressources dans les bonnes conditions. Identités humaines : vos administrateurs, développeurs, opérateurs et utilisateurs finaux ont besoin d'une identité pour accéder à vos AWS environnements et à vos applications. Il s'agit de membres de votre organisation ou d'utilisateurs externes avec lesquels vous collaborez et qui interagissent avec vos AWS ressources à partir d'un navigateur Web, d'une application cliente ou d'outils de ligne de commande interactifs. Identités des machines : vos applications de service, vos outils opérationnels et vos charges de travail ont besoin d'une identité pour envoyer des demandes aux AWS services, par exemple pour lire des données. Ces identités incluent les machines exécutées dans votre AWS environnement, telles que les EC2 instances Amazon ou les fonctions AWS Lambda. Vous pouvez également gérer les Identités machine pour les parties externes qui ont besoin d'un accès. En outre, il se peut AWS que des machines extérieures aient besoin d'accéder à votre AWS environnement.

ecs-task-definition-user-for-host-mode-check

Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges.
SEC-2 Comment gérer les identités des personnes et des machines ? Il existe deux types d'identités que vous devez gérer lorsque vous abordez des AWS charges de travail sécurisées. Comprendre le type d'identité dont vous avez besoin pour gérer et accorder les accès vous permet de vous assurer que les bonnes identités ont accès aux bonnes ressources dans les bonnes conditions. Identités humaines : vos administrateurs, développeurs, opérateurs et utilisateurs finaux ont besoin d'une identité pour accéder à vos AWS environnements et à vos applications. Il s'agit de membres de votre organisation ou d'utilisateurs externes avec lesquels vous collaborez et qui interagissent avec vos AWS ressources à partir d'un navigateur Web, d'une application cliente ou d'outils de ligne de commande interactifs. Identités des machines : vos applications de service, vos outils opérationnels et vos charges de travail ont besoin d'une identité pour envoyer des demandes aux AWS services, par exemple pour lire des données. Ces identités incluent les machines exécutées dans votre AWS environnement, telles que les EC2 instances Amazon ou les fonctions AWS Lambda. Vous pouvez également gérer les Identités machine pour les parties externes qui ont besoin d'un accès. En outre, il se peut AWS que des machines extérieures aient besoin d'accéder à votre AWS environnement.

iam-group-has-users-vérifier

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que IAM les groupes comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège.
SEC-2 Comment gérer les identités des personnes et des machines ? Il existe deux types d'identités que vous devez gérer lorsque vous abordez des AWS charges de travail sécurisées. Comprendre le type d'identité dont vous avez besoin pour gérer et accorder les accès vous permet de vous assurer que les bonnes identités ont accès aux bonnes ressources dans les bonnes conditions. Identités humaines : vos administrateurs, développeurs, opérateurs et utilisateurs finaux ont besoin d'une identité pour accéder à vos AWS environnements et à vos applications. Il s'agit de membres de votre organisation ou d'utilisateurs externes avec lesquels vous collaborez et qui interagissent avec vos AWS ressources à partir d'un navigateur Web, d'une application cliente ou d'outils de ligne de commande interactifs. Identités des machines : vos applications de service, vos outils opérationnels et vos charges de travail ont besoin d'une identité pour envoyer des demandes aux AWS services, par exemple pour lire des données. Ces identités incluent les machines exécutées dans votre AWS environnement, telles que les EC2 instances Amazon ou les fonctions AWS Lambda. Vous pouvez également gérer les Identités machine pour les parties externes qui ont besoin d'un accès. En outre, il se peut AWS que des machines extérieures aient besoin d'accéder à votre AWS environnement.

iam-no-inline-policy-vérifier

Assurez-vous qu'un utilisateur, un IAM rôle ou un IAM groupe AWS Identity and Access Management (IAM) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations.
SEC-2 Comment gérer les identités des personnes et des machines ? Il existe deux types d'identités que vous devez gérer lorsque vous abordez des AWS charges de travail sécurisées. Comprendre le type d'identité dont vous avez besoin pour gérer et accorder les accès vous permet de vous assurer que les bonnes identités ont accès aux bonnes ressources dans les bonnes conditions. Identités humaines : vos administrateurs, développeurs, opérateurs et utilisateurs finaux ont besoin d'une identité pour accéder à vos AWS environnements et à vos applications. Il s'agit de membres de votre organisation ou d'utilisateurs externes avec lesquels vous collaborez et qui interagissent avec vos AWS ressources à partir d'un navigateur Web, d'une application cliente ou d'outils de ligne de commande interactifs. Identités des machines : vos applications de service, vos outils opérationnels et vos charges de travail ont besoin d'une identité pour envoyer des demandes aux AWS services, par exemple pour lire des données. Ces identités incluent les machines exécutées dans votre AWS environnement, telles que les EC2 instances Amazon ou les fonctions AWS Lambda. Vous pouvez également gérer les Identités machine pour les parties externes qui ont besoin d'un accès. En outre, il se peut AWS que des machines extérieures aient besoin d'accéder à votre AWS environnement.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Allow » avec « Action » : « * » plutôt que « Resource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
SEC-2 Comment gérer les identités des personnes et des machines ? Il existe deux types d'identités que vous devez gérer lorsque vous abordez des AWS charges de travail sécurisées. Comprendre le type d'identité dont vous avez besoin pour gérer et accorder les accès vous permet de vous assurer que les bonnes identités ont accès aux bonnes ressources dans les bonnes conditions. Identités humaines : vos administrateurs, développeurs, opérateurs et utilisateurs finaux ont besoin d'une identité pour accéder à vos AWS environnements et à vos applications. Il s'agit de membres de votre organisation ou d'utilisateurs externes avec lesquels vous collaborez et qui interagissent avec vos AWS ressources à partir d'un navigateur Web, d'une application cliente ou d'outils de ligne de commande interactifs. Identités des machines : vos applications de service, vos outils opérationnels et vos charges de travail ont besoin d'une identité pour envoyer des demandes aux AWS services, par exemple pour lire des données. Ces identités incluent les machines exécutées dans votre AWS environnement, telles que les EC2 instances Amazon ou les fonctions AWS Lambda. Vous pouvez également gérer les Identités machine pour les parties externes qui ont besoin d'un accès. En outre, il se peut AWS que des machines extérieures aient besoin d'accéder à votre AWS environnement.

iam-policy-no-statements-with-full-access

Assurez-vous que les IAM actions sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
SEC-2 Comment gérer les identités des personnes et des machines ? Il existe deux types d'identités que vous devez gérer lorsque vous abordez des AWS charges de travail sécurisées. Comprendre le type d'identité dont vous avez besoin pour gérer et accorder les accès vous permet de vous assurer que les bonnes identités ont accès aux bonnes ressources dans les bonnes conditions. Identités humaines : vos administrateurs, développeurs, opérateurs et utilisateurs finaux ont besoin d'une identité pour accéder à vos AWS environnements et à vos applications. Il s'agit de membres de votre organisation ou d'utilisateurs externes avec lesquels vous collaborez et qui interagissent avec vos AWS ressources à partir d'un navigateur Web, d'une application cliente ou d'outils de ligne de commande interactifs. Identités des machines : vos applications de service, vos outils opérationnels et vos charges de travail ont besoin d'une identité pour envoyer des demandes aux AWS services, par exemple pour lire des données. Ces identités incluent les machines exécutées dans votre AWS environnement, telles que les EC2 instances Amazon ou les fonctions AWS Lambda. Vous pouvez également gérer les Identités machine pour les parties externes qui ont besoin d'un accès. En outre, il se peut AWS que des machines extérieures aient besoin d'accéder à votre AWS environnement.

iam-user-group-membership-vérifier

AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
SEC-2 Comment gérer les identités des personnes et des machines ? Il existe deux types d'identités que vous devez gérer lorsque vous abordez des AWS charges de travail sécurisées. Comprendre le type d'identité dont vous avez besoin pour gérer et accorder les accès vous permet de vous assurer que les bonnes identités ont accès aux bonnes ressources dans les bonnes conditions. Identités humaines : vos administrateurs, développeurs, opérateurs et utilisateurs finaux ont besoin d'une identité pour accéder à vos AWS environnements et à vos applications. Il s'agit de membres de votre organisation ou d'utilisateurs externes avec lesquels vous collaborez et qui interagissent avec vos AWS ressources à partir d'un navigateur Web, d'une application cliente ou d'outils de ligne de commande interactifs. Identités des machines : vos applications de service, vos outils opérationnels et vos charges de travail ont besoin d'une identité pour envoyer des demandes aux AWS services, par exemple pour lire des données. Ces identités incluent les machines exécutées dans votre AWS environnement, telles que les EC2 instances Amazon ou les fonctions AWS Lambda. Vous pouvez également gérer les Identités machine pour les parties externes qui ont besoin d'un accès. En outre, il se peut AWS que des machines extérieures aient besoin d'accéder à votre AWS environnement.

iam-user-unused-credentials-vérifier

AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les IAM mots de passe et les clés d'accès qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation.
SEC-2 Comment gérer les identités des personnes et des machines ? Il existe deux types d'identités que vous devez gérer lorsque vous abordez des AWS charges de travail sécurisées. Comprendre le type d'identité dont vous avez besoin pour gérer et accorder les accès vous permet de vous assurer que les bonnes identités ont accès aux bonnes ressources dans les bonnes conditions. Identités humaines : vos administrateurs, développeurs, opérateurs et utilisateurs finaux ont besoin d'une identité pour accéder à vos AWS environnements et à vos applications. Il s'agit de membres de votre organisation ou d'utilisateurs externes avec lesquels vous collaborez et qui interagissent avec vos AWS ressources à partir d'un navigateur Web, d'une application cliente ou d'outils de ligne de commande interactifs. Identités des machines : vos applications de service, vos outils opérationnels et vos charges de travail ont besoin d'une identité pour envoyer des demandes aux AWS services, par exemple pour lire des données. Ces identités incluent les machines exécutées dans votre AWS environnement, telles que les EC2 instances Amazon ou les fonctions AWS Lambda. Vous pouvez également gérer les Identités machine pour les parties externes qui ont besoin d'un accès. En outre, il se peut AWS que des machines extérieures aient besoin d'accéder à votre AWS environnement.

secretsmanager-rotation-enabled-check

Cette règle garantit que la rotation AWS des secrets de Secrets Manager est activée. La rotation régulière des secrets peut raccourcir la période pendant laquelle un secret est actif et potentiellement réduire l'impact commercial s'il est compromis.
SEC-2 Comment gérer les identités des personnes et des machines ? Il existe deux types d'identités que vous devez gérer lorsque vous abordez des AWS charges de travail sécurisées. Comprendre le type d'identité dont vous avez besoin pour gérer et accorder les accès vous permet de vous assurer que les bonnes identités ont accès aux bonnes ressources dans les bonnes conditions. Identités humaines : vos administrateurs, développeurs, opérateurs et utilisateurs finaux ont besoin d'une identité pour accéder à vos AWS environnements et à vos applications. Il s'agit de membres de votre organisation ou d'utilisateurs externes avec lesquels vous collaborez et qui interagissent avec vos AWS ressources à partir d'un navigateur Web, d'une application cliente ou d'outils de ligne de commande interactifs. Identités des machines : vos applications de service, vos outils opérationnels et vos charges de travail ont besoin d'une identité pour envoyer des demandes aux AWS services, par exemple pour lire des données. Ces identités incluent les machines exécutées dans votre AWS environnement, telles que les EC2 instances Amazon ou les fonctions AWS Lambda. Vous pouvez également gérer les Identités machine pour les parties externes qui ont besoin d'un accès. En outre, il se peut AWS que des machines extérieures aient besoin d'accéder à votre AWS environnement.

secretsmanager-scheduled-rotation-success-vérifier

Cette règle garantit que AWS les secrets de Secrets Manager ont été correctement transférés conformément au calendrier de rotation. La rotation régulière des secrets peut raccourcir la période pendant laquelle un secret est actif et potentiellement réduire l'impact commercial s'il est compromis.
SEC-2 Comment gérer les identités des personnes et des machines ? Il existe deux types d'identités que vous devez gérer lorsque vous abordez des AWS charges de travail sécurisées. Comprendre le type d'identité dont vous avez besoin pour gérer et accorder les accès vous permet de vous assurer que les bonnes identités ont accès aux bonnes ressources dans les bonnes conditions. Identités humaines : vos administrateurs, développeurs, opérateurs et utilisateurs finaux ont besoin d'une identité pour accéder à vos AWS environnements et à vos applications. Il s'agit de membres de votre organisation ou d'utilisateurs externes avec lesquels vous collaborez et qui interagissent avec vos AWS ressources à partir d'un navigateur Web, d'une application cliente ou d'outils de ligne de commande interactifs. Identités des machines : vos applications de service, vos outils opérationnels et vos charges de travail ont besoin d'une identité pour envoyer des demandes aux AWS services, par exemple pour lire des données. Ces identités incluent les machines exécutées dans votre AWS environnement, telles que les EC2 instances Amazon ou les fonctions AWS Lambda. Vous pouvez également gérer les Identités machine pour les parties externes qui ont besoin d'un accès. En outre, il se peut AWS que des machines extérieures aient besoin d'accéder à votre AWS environnement.

secretsmanager-secret-periodic-rotation

Cette règle garantit que AWS la rotation périodique des secrets de Secrets Manager est activée. La rotation régulière des secrets peut raccourcir la période pendant laquelle un secret est actif et potentiellement réduire l'impact commercial s'il est compromis. La valeur par défaut est 90 jours.
SEC-2 Comment gérer les identités des personnes et des machines ? Il existe deux types d'identités que vous devez gérer lorsque vous abordez des AWS charges de travail sécurisées. Comprendre le type d'identité dont vous avez besoin pour gérer et accorder les accès vous permet de vous assurer que les bonnes identités ont accès aux bonnes ressources dans les bonnes conditions. Identités humaines : vos administrateurs, développeurs, opérateurs et utilisateurs finaux ont besoin d'une identité pour accéder à vos AWS environnements et à vos applications. Il s'agit de membres de votre organisation ou d'utilisateurs externes avec lesquels vous collaborez et qui interagissent avec vos AWS ressources à partir d'un navigateur Web, d'une application cliente ou d'outils de ligne de commande interactifs. Identités des machines : vos applications de service, vos outils opérationnels et vos charges de travail ont besoin d'une identité pour envoyer des demandes aux AWS services, par exemple pour lire des données. Ces identités incluent les machines exécutées dans votre AWS environnement, telles que les EC2 instances Amazon ou les fonctions AWS Lambda. Vous pouvez également gérer les Identités machine pour les parties externes qui ont besoin d'un accès. En outre, il se peut AWS que des machines extérieures aient besoin d'accéder à votre AWS environnement.

secretsmanager-secret-unused

Si des informations d'identification non utilisées existent dans AWS Secrets Manager, vous devez les désactiver et/ou les supprimer, car cela pourrait violer le principe du moindre privilège. Cette règle vous permet de définir une valeur sur unusedForDays (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation.
SEC-2 Comment gérer les identités des personnes et des machines ? Il existe deux types d'identités que vous devez gérer lorsque vous abordez des AWS charges de travail sécurisées. Comprendre le type d'identité dont vous avez besoin pour gérer et accorder les accès vous permet de vous assurer que les bonnes identités ont accès aux bonnes ressources dans les bonnes conditions. Identités humaines : vos administrateurs, développeurs, opérateurs et utilisateurs finaux ont besoin d'une identité pour accéder à vos AWS environnements et à vos applications. Il s'agit de membres de votre organisation ou d'utilisateurs externes avec lesquels vous collaborez et qui interagissent avec vos AWS ressources à partir d'un navigateur Web, d'une application cliente ou d'outils de ligne de commande interactifs. Identités des machines : vos applications de service, vos outils opérationnels et vos charges de travail ont besoin d'une identité pour envoyer des demandes aux AWS services, par exemple pour lire des données. Ces identités incluent les machines exécutées dans votre AWS environnement, telles que les EC2 instances Amazon ou les fonctions AWS Lambda. Vous pouvez également gérer les Identités machine pour les parties externes qui ont besoin d'un accès. En outre, il se peut AWS que des machines extérieures aient besoin d'accéder à votre AWS environnement.

secretsmanager-using-cmk

Pour protéger les données au repos, assurez-vous que le chiffrement avec AWS Key Management Service (AWS KMS) est activé pour les AWS secrets de Secrets Manager. Comme il peut y avoir des données sensibles au repos dans les secrets de Secrets Manager, activez le chiffrement au repos pour protéger ces données.
SEC-2 Comment gérer les identités des personnes et des machines ? Il existe deux types d'identités que vous devez gérer lorsque vous abordez des AWS charges de travail sécurisées. Comprendre le type d'identité dont vous avez besoin pour gérer et accorder les accès vous permet de vous assurer que les bonnes identités ont accès aux bonnes ressources dans les bonnes conditions. Identités humaines : vos administrateurs, développeurs, opérateurs et utilisateurs finaux ont besoin d'une identité pour accéder à vos AWS environnements et à vos applications. Il s'agit de membres de votre organisation ou d'utilisateurs externes avec lesquels vous collaborez et qui interagissent avec vos AWS ressources à partir d'un navigateur Web, d'une application cliente ou d'outils de ligne de commande interactifs. Identités des machines : vos applications de service, vos outils opérationnels et vos charges de travail ont besoin d'une identité pour envoyer des demandes aux AWS services, par exemple pour lire des données. Ces identités incluent les machines exécutées dans votre AWS environnement, telles que les EC2 instances Amazon ou les fonctions AWS Lambda. Vous pouvez également gérer les Identités machine pour les parties externes qui ont besoin d'un accès. En outre, il se peut AWS que des machines extérieures aient besoin d'accéder à votre AWS environnement.

access-keys-rotated

Les informations d'identification sont auditées pour les appareils, les utilisateurs et les processus autorisés en veillant IAM à ce que les clés d'accès soient alternées conformément à la politique de l'organisation. La modification régulière des clés d'accès est une bonne pratique de sécurité. Cela permet de raccourcir la période pendant laquelle une clé d'accès est active et de réduire l'impact commercial en cas de compromission des clés. Cette règle nécessite une valeur de rotation des clés d'accès (configuration par défaut : 90). La valeur réelle doit refléter les politiques de votre organisation.
SEC-3 Comment gérer les autorisations des personnes et des machines ? Chaque composant ou ressource de votre charge de travail doit être accessible aux administrateurs, aux utilisateurs finaux ou à d'autres composants. Définissez clairement qui ou quoi doit avoir accès à chaque composant, choisissez le type d'identité approprié et la méthode d'authentification et d'autorisation.

ec2-imdsv2-check

Assurez-vous que la méthode Instance Metadata Service Version 2 (IMDSv2) est activée pour protéger l'accès et le contrôle des métadonnées des instances Amazon Elastic Compute Cloud (AmazonEC2). La IMDSv2 méthode utilise des commandes basées sur les sessions. AvecIMDSv2, des contrôles peuvent être mis en œuvre pour limiter les modifications apportées aux métadonnées de l'instance.
SEC-3 Comment gérer les autorisations des personnes et des machines ? Chaque composant ou ressource de votre charge de travail doit être accessible aux administrateurs, aux utilisateurs finaux ou à d'autres composants. Définissez clairement qui ou quoi doit avoir accès à chaque composant, choisissez le type d'identité approprié et la méthode d'authentification et d'autorisation.

ec2- instance-profile-attached

EC2les profils d'instance transmettent un IAM rôle à une EC2 instance. L'association d'un profil d'instance à vos instances peut faciliter la gestion du moindre privilège et des autorisations.
SEC-3 Comment gérer les autorisations des personnes et des machines ? Chaque composant ou ressource de votre charge de travail doit être accessible aux administrateurs, aux utilisateurs finaux ou à d'autres composants. Définissez clairement qui ou quoi doit avoir accès à chaque composant, choisissez le type d'identité approprié et la méthode d'authentification et d'autorisation.

ecs-task-definition-user-for-host-mode-check

Si une définition de tâche dispose de privilèges élevés, c'est parce que le client a spécifiquement opté pour ces configurations. Ce contrôle vérifie qu'il n'y a pas d'élévation des privilèges inattendue lorsqu'une définition de tâche a activé la mise en réseau de l'hôte, mais que le client n'a pas opté pour l'élévation des privilèges.
SEC-3 Comment gérer les autorisations des personnes et des machines ? Chaque composant ou ressource de votre charge de travail doit être accessible aux administrateurs, aux utilisateurs finaux ou à d'autres composants. Définissez clairement qui ou quoi doit avoir accès à chaque composant, choisissez le type d'identité approprié et la méthode d'authentification et d'autorisation.

ecs-task-definition-nonroot-utilisateur

Pour faciliter la mise en œuvre du principe du moindre privilège, assurez-vous qu'un utilisateur non root est désigné pour accéder à vos définitions de tâches Amazon Elastic Container Service (AmazonECS).
SEC-3 Comment gérer les autorisations des personnes et des machines ? Chaque composant ou ressource de votre charge de travail doit être accessible aux administrateurs, aux utilisateurs finaux ou à d'autres composants. Définissez clairement qui ou quoi doit avoir accès à chaque composant, choisissez le type d'identité approprié et la méthode d'authentification et d'autorisation.

ecs-containers-nonprivileged

Pour faciliter la mise en œuvre du principe du moindre privilège, les définitions de tâches Amazon Elastic Container Service (AmazonECS) ne doivent pas avoir de privilèges élevés activés. Quand ce paramètre a la valeur true, le conteneur dispose de droits élevés sur l'instance de conteneur hôte (similaire à l'utilisateur root).
SEC-3 Comment gérer les autorisations des personnes et des machines ? Chaque composant ou ressource de votre charge de travail doit être accessible aux administrateurs, aux utilisateurs finaux ou à d'autres composants. Définissez clairement qui ou quoi doit avoir accès à chaque composant, choisissez le type d'identité approprié et la méthode d'authentification et d'autorisation.

ecs-containers-readonly-access

L'activation de l'accès en lecture seule aux conteneurs Amazon Elastic Container Service (ECS) peut aider à respecter le principe du moindre privilège. Cette option peut réduire les vecteurs d'attaque, car le système de fichiers de l'instance de conteneur ne peut être modifié que s'il dispose d'autorisations explicites de lecture et d'écriture.
SEC-3 Comment gérer les autorisations des personnes et des machines ? Chaque composant ou ressource de votre charge de travail doit être accessible aux administrateurs, aux utilisateurs finaux ou à d'autres composants. Définissez clairement qui ou quoi doit avoir accès à chaque composant, choisissez le type d'identité approprié et la méthode d'authentification et d'autorisation.

efs-access-point-enforce-identité de l'utilisateur

Pour faciliter la mise en œuvre du principe du moindre privilège, assurez-vous que l'application des droits des utilisateurs est activée pour votre Amazon Elastic File System (AmazonEFS). Lorsque cette option est activée, Amazon EFS remplace l'utilisateur et le groupe du NFS client IDs par l'identité configurée sur le point d'accès pour toutes les opérations du système de fichiers et accorde uniquement l'accès à cette identité d'utilisateur forcée.
SEC-3 Comment gérer les autorisations des personnes et des machines ? Chaque composant ou ressource de votre charge de travail doit être accessible aux administrateurs, aux utilisateurs finaux ou à d'autres composants. Définissez clairement qui ou quoi doit avoir accès à chaque composant, choisissez le type d'identité approprié et la méthode d'authentification et d'autorisation.

emr-kerberos-enabled

Les autorisations et autorisations d'accès peuvent être gérées et intégrées selon les principes du moindre privilège et de la séparation des tâches, en activant Kerberos pour les clusters Amazon. EMR Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés principaux. Les principaux existent au sein d'un domaine Kerberos. Dans le domaine, un serveur Kerberos est appelé centre de distribution de clés ()KDC. Il fournit aux principaux un moyen de s'authentifier. Il s'KDCauthentifie en émettant des tickets d'authentification. Il KDC gère une base de données des principaux de son domaine, leurs mots de passe et d'autres informations administratives sur chaque principal.
SEC-3 Comment gérer les autorisations des personnes et des machines ? Chaque composant ou ressource de votre charge de travail doit être accessible aux administrateurs, aux utilisateurs finaux ou à d'autres composants. Définissez clairement qui ou quoi doit avoir accès à chaque composant, choisissez le type d'identité approprié et la méthode d'authentification et d'autorisation.

iam-group-has-users-vérifier

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que IAM les groupes comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège.
SEC-3 Comment gérer les autorisations des personnes et des machines ? Chaque composant ou ressource de votre charge de travail doit être accessible aux administrateurs, aux utilisateurs finaux ou à d'autres composants. Définissez clairement qui ou quoi doit avoir accès à chaque composant, choisissez le type d'identité approprié et la méthode d'authentification et d'autorisation.

iam-no-inline-policy-vérifier

Assurez-vous qu'un utilisateur, un IAM rôle ou un IAM groupe AWS Identity and Access Management (IAM) ne dispose pas d'une politique intégrée pour contrôler l'accès aux systèmes et aux actifs. AWS recommande d'utiliser des politiques gérées plutôt que des politiques intégrées. Les politiques gérées permettent la réutilisation, la gestion des versions et la restauration, ainsi que la délégation de la gestion des autorisations.
SEC-3 Comment gérer les autorisations des personnes et des machines ? Chaque composant ou ressource de votre charge de travail doit être accessible aux administrateurs, aux utilisateurs finaux ou à d'autres composants. Définissez clairement qui ou quoi doit avoir accès à chaque composant, choisissez le type d'identité approprié et la méthode d'authentification et d'autorisation.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Allow » avec « Action » : « * » plutôt que « Resource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
SEC-3 Comment gérer les autorisations des personnes et des machines ? Chaque composant ou ressource de votre charge de travail doit être accessible aux administrateurs, aux utilisateurs finaux ou à d'autres composants. Définissez clairement qui ou quoi doit avoir accès à chaque composant, choisissez le type d'identité approprié et la méthode d'authentification et d'autorisation.

iam-policy-no-statements-with-full-access

Assurez-vous que les IAM actions sont limitées aux seules actions nécessaires. Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
SEC-3 Comment gérer les autorisations des personnes et des machines ? Chaque composant ou ressource de votre charge de travail doit être accessible aux administrateurs, aux utilisateurs finaux ou à d'autres composants. Définissez clairement qui ou quoi doit avoir accès à chaque composant, choisissez le type d'identité approprié et la méthode d'authentification et d'autorisation.

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en empêchant les politiques de contenir des actions bloquées sur toutes les clés du AWS Key Management Service. Avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches. Cette règle vous permet de définir le blockedActionsPatterns paramètre. (Valeur des meilleures pratiques de sécuritéAWS fondamentales : KMS:Decrypt, kms :). ReEncryptFrom Les valeurs réelles doivent refléter les politiques de votre organisation
SEC-3 Comment gérer les autorisations des personnes et des machines ? Chaque composant ou ressource de votre charge de travail doit être accessible aux administrateurs, aux utilisateurs finaux ou à d'autres composants. Définissez clairement qui ou quoi doit avoir accès à chaque composant, choisissez le type d'identité approprié et la méthode d'authentification et d'autorisation.

iam-group-has-users-vérifier

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches aux autorisations et autorisations d'accès, en garantissant que IAM les groupes comptent au moins un utilisateur. Placer les utilisateurs dans des groupes en fonction des autorisations ou des fonctions qui leur sont associées est une manière d'intégrer le moindre privilège.
SEC-3 Comment gérer les autorisations des personnes et des machines ? Chaque composant ou ressource de votre charge de travail doit être accessible aux administrateurs, aux utilisateurs finaux ou à d'autres composants. Définissez clairement qui ou quoi doit avoir accès à chaque composant, choisissez le type d'identité approprié et la méthode d'authentification et d'autorisation.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) peut vous aider à intégrer les principes du moindre privilège et de la séparation des tâches dans les autorisations et autorisations d'accès, en empêchant les politiques de contenir « Effect » : « Allow » avec « Action » : « * » plutôt que « Resource » : « * ». Permettre aux utilisateurs d'avoir plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
SEC-3 Comment gérer les autorisations des personnes et des machines ? Chaque composant ou ressource de votre charge de travail doit être accessible aux administrateurs, aux utilisateurs finaux ou à d'autres composants. Définissez clairement qui ou quoi doit avoir accès à chaque composant, choisissez le type d'identité approprié et la méthode d'authentification et d'autorisation.

iam-root-access-key-vérifier

L'accès aux systèmes et aux actifs peut être contrôlé en vérifiant que l'utilisateur root ne dispose pas de clés d'accès associées à son rôle AWS Identity and Access Management (IAM). Assurez-vous que les clés d'accès root ont été supprimées. Créez et utilisez plutôt la fonction basée sur Comptes AWS les rôles pour intégrer le principe de moindre fonctionnalité.
SEC-3 Comment gérer les autorisations des personnes et des machines ? Chaque composant ou ressource de votre charge de travail doit être accessible aux administrateurs, aux utilisateurs finaux ou à d'autres composants. Définissez clairement qui ou quoi doit avoir accès à chaque composant, choisissez le type d'identité approprié et la méthode d'authentification et d'autorisation.

iam-user-group-membership-vérifier

AWS Identity and Access Management (IAM) peut vous aider à restreindre les autorisations et autorisations d'accès en vous assurant que les utilisateurs sont membres d'au moins un groupe. Accorder aux utilisateurs plus de privilèges que nécessaire pour effectuer une tâche peut enfreindre le principe du moindre privilège et de la séparation des tâches.
SEC-3 Comment gérer les autorisations des personnes et des machines ? Chaque composant ou ressource de votre charge de travail doit être accessible aux administrateurs, aux utilisateurs finaux ou à d'autres composants. Définissez clairement qui ou quoi doit avoir accès à chaque composant, choisissez le type d'identité approprié et la méthode d'authentification et d'autorisation.

iam-user-unused-credentials-vérifier

AWS Identity and Access Management (IAM) peut vous aider à obtenir des autorisations et des autorisations d'accès en vérifiant les IAM mots de passe et les clés d'accès qui ne sont pas utilisés pendant une période donnée. Si de telles informations d'identification non utilisées sont identifiées, vous devez les désactiver et/ou les supprimer afin de ne pas risquer d'enfreindre le principe du moindre privilège. Cette règle vous oblige à définir une valeur sur maxCredentialUsage Age (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation.
SEC-3 Comment gérer les autorisations des personnes et des machines ? Établissez des contrôles communs qui limitent l'accès à toutes les identités de votre organisation. Par exemple, vous pouvez restreindre l'accès à des AWS régions spécifiques ou empêcher vos opérateurs de supprimer des ressources communes, telles qu'un IAM rôle utilisé par votre équipe de sécurité centrale

account-part-of-organizations

La gestion centralisée Comptes AWS au sein des AWS Organisations permet de garantir la conformité des comptes. L'absence de gouvernance centralisée des comptes peut entraîner des configurations de comptes incohérentes, ce qui peut exposer des ressources et des données sensibles.
SEC-3 Comment gérer les autorisations des personnes et des machines ? Surveillez en permanence les résultats qui mettent en évidence l'accès public et l'accès intercompte. Réduisez l'accès public et l'accès intercompte aux seules ressources nécessitant ce type d'accès.

dms-replication-not-public

Gérez l'accès au AWS cloud en vous assurant que les instances de DMS réplication ne sont pas accessibles au public. DMSles instances de réplication peuvent contenir des informations sensibles et un contrôle d'accès est requis pour ces comptes.
SEC-3 Comment gérer les autorisations des personnes et des machines ? Surveillez en permanence les résultats qui mettent en évidence l'accès public et l'accès intercompte. Réduisez l'accès public et l'accès intercompte aux seules ressources nécessitant ce type d'accès.

ebs-snapshot-public-restorable-vérifier

Gérez l'accès au AWS cloud en vous assurant que les EBS instantanés ne sont pas restaurables publiquement. EBSles instantanés de volume peuvent contenir des informations sensibles et un contrôle d'accès est requis pour ces comptes.
SEC-3 Comment gérer les autorisations des personnes et des machines ? Surveillez en permanence les résultats qui mettent en évidence l'accès public et l'accès intercompte. Réduisez l'accès public et l'accès intercompte aux seules ressources nécessitant ce type d'accès.

ec2- instance-no-public-ip

Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (AmazonEC2) ne sont pas accessibles au public. Les EC2 instances Amazon peuvent contenir des informations sensibles et un contrôle d'accès est requis pour ces comptes.
SEC-3 Comment gérer les autorisations des personnes et des machines ? Surveillez en permanence les résultats qui mettent en évidence l'accès public et l'accès intercompte. Réduisez l'accès public et l'accès intercompte aux seules ressources nécessitant ce type d'accès.

elasticsearch-in-vpc-only

Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (AmazonVPC). Un domaine de OpenSearch service au sein d'Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un NAT appareil ou d'une VPN connexion.
SEC-3 Comment gérer les autorisations des personnes et des machines ? Surveillez en permanence les résultats qui mettent en évidence l'accès public et l'accès intercompte. Réduisez l'accès public et l'accès intercompte aux seules ressources nécessitant ce type d'accès.

opensearch-in-vpc-only

Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (AmazonVPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et d'autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un NAT appareil ou d'une VPN connexion.
SEC-3 Comment gérer les autorisations des personnes et des machines ? Surveillez en permanence les résultats qui mettent en évidence l'accès public et l'accès intercompte. Réduisez l'accès public et l'accès intercompte aux seules ressources nécessitant ce type d'accès.

emr-master-no-public-IP

Gérez l'accès au AWS cloud en vous assurant que les nœuds EMR principaux du cluster Amazon ne sont pas accessibles au public. Les nœuds EMR principaux du cluster Amazon peuvent contenir des informations sensibles et un contrôle d'accès est requis pour ces comptes.
SEC-3 Comment gérer les autorisations des personnes et des machines ? Surveillez en permanence les résultats qui mettent en évidence l'accès public et l'accès intercompte. Réduisez l'accès public et l'accès intercompte aux seules ressources nécessitant ce type d'accès.

ec2- instances-in-vpc

Déployez des instances Amazon Elastic Compute Cloud (AmazonEC2) au sein d'un Amazon Virtual Private Cloud (AmazonVPC) pour permettre une communication sécurisée entre une instance et d'autres services au sein d'AmazonVPC, sans avoir besoin de passerelle Internet, d'NATappareil ou de VPN connexion. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolation logique, les domaines situés au sein d'un Amazon VPC disposent d'une couche de sécurité supplémentaire par rapport aux domaines utilisant des points de terminaison publics. Attribuez EC2 des instances Amazon à un Amazon VPC pour gérer correctement l'accès.
SEC-3 Comment gérer les autorisations des personnes et des machines ? Surveillez en permanence les résultats qui mettent en évidence l'accès public et l'accès intercompte. Réduisez l'accès public et l'accès intercompte aux seules ressources nécessitant ce type d'accès.

lambda-function-public-access-interdit

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources.
SEC-3 Comment gérer les autorisations des personnes et des machines ? Surveillez en permanence les résultats qui mettent en évidence l'accès public et l'accès intercompte. Réduisez l'accès public et l'accès intercompte aux seules ressources nécessitant ce type d'accès.

lambda-inside-vpc

Déployez des fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud VPC (Amazon) pour une communication sécurisée entre une fonction et d'autres services au sein d'Amazon. VPC Avec cette configuration, il n'est pas nécessaire de disposer d'une passerelle Internet, d'un NAT appareil ou d'une VPN connexion. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolation logique, les domaines situés au sein d'un Amazon VPC disposent d'une couche de sécurité supplémentaire par rapport aux domaines utilisant des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un. VPC
SEC-3 Comment gérer les autorisations des personnes et des machines ? Surveillez en permanence les résultats qui mettent en évidence l'accès public et l'accès intercompte. Réduisez l'accès public et l'accès intercompte aux seules ressources nécessitant ce type d'accès.

rds-instance-public-access-vérifier

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (RDSAmazon) ne sont pas publiques. Les instances RDS de base de données Amazon peuvent contenir des informations sensibles, et des principes et un contrôle d'accès sont requis pour ces comptes.
SEC-3 Comment gérer les autorisations des personnes et des machines ? Surveillez en permanence les résultats qui mettent en évidence l'accès public et l'accès intercompte. Réduisez l'accès public et l'accès intercompte aux seules ressources nécessitant ce type d'accès.

rds-snapshots-public-prohibited

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (RDSAmazon) ne sont pas publiques. Les instances RDS de base de données Amazon peuvent contenir des informations et des principes sensibles et un contrôle d'accès est requis pour ces comptes.
SEC-3 Comment gérer les autorisations des personnes et des machines ? Surveillez en permanence les résultats qui mettent en évidence l'accès public et l'accès intercompte. Réduisez l'accès public et l'accès intercompte aux seules ressources nécessitant ce type d'accès.

redshift-cluster-public-access-vérifier

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
SEC-3 Comment gérer les autorisations des personnes et des machines ? Surveillez en permanence les résultats qui mettent en évidence l'accès public et l'accès intercompte. Réduisez l'accès public et l'accès intercompte aux seules ressources nécessitant ce type d'accès.

s3- account-level-public-access -blocs-périodique

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation.
SEC-3 Comment gérer les autorisations des personnes et des machines ? Surveillez en permanence les résultats qui mettent en évidence l'accès public et l'accès intercompte. Réduisez l'accès public et l'accès intercompte aux seules ressources nécessitant ce type d'accès.

s3- bucket-level-public-access -interdit

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment.
SEC-3 Comment gérer les autorisations des personnes et des machines ? Surveillez en permanence les résultats qui mettent en évidence l'accès public et l'accès intercompte. Réduisez l'accès public et l'accès intercompte aux seules ressources nécessitant ce type d'accès.

s3- bucket-public-read-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
SEC-3 Comment gérer les autorisations des personnes et des machines ? Surveillez en permanence les résultats qui mettent en évidence l'accès public et l'accès intercompte. Réduisez l'accès public et l'accès intercompte aux seules ressources nécessitant ce type d'accès.

s3- bucket-public-write-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
SEC-3 Comment gérer les autorisations des personnes et des machines ? Surveillez en permanence les résultats qui mettent en évidence l'accès public et l'accès intercompte. Réduisez l'accès public et l'accès intercompte aux seules ressources nécessitant ce type d'accès.

sagemaker-notebook-no-direct-accès à Internet

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles.
SEC-3 Comment gérer les autorisations des personnes et des machines ? Surveillez en permanence les résultats qui mettent en évidence l'accès public et l'accès intercompte. Réduisez l'accès public et l'accès intercompte aux seules ressources nécessitant ce type d'accès.

secretsmanager-secret-unused

Si des informations d'identification non utilisées existent dans AWS Secrets Manager, vous devez les désactiver et/ou les supprimer, car cela pourrait violer le principe du moindre privilège. Cette règle vous permet de définir une valeur sur unusedForDays (Config Default : 90). La valeur réelle doit refléter les politiques de votre organisation.
SEC-3 Comment gérer les autorisations des personnes et des machines ? Surveillez en permanence les résultats qui mettent en évidence l'accès public et l'accès intercompte. Réduisez l'accès public et l'accès intercompte aux seules ressources nécessitant ce type d'accès.

ssm-document-not-public

Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos SSM documents. Un SSM document public peut exposer des informations sur votre compte, vos ressources et vos processus internes.
SEC-3 Comment gérer les autorisations des personnes et des machines ? Surveillez en permanence les résultats qui mettent en évidence l'accès public et l'accès intercompte. Réduisez l'accès public et l'accès intercompte aux seules ressources nécessitant ce type d'accès.

subnet-auto-assign-public-IP désactivé

Gérez l'accès au AWS cloud en vous assurant que les sous-réseaux Amazon Virtual Private Cloud (VPC) ne se voient pas automatiquement attribuer une adresse IP publique. Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux sur lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale.
SEC-3 Comment gérer les autorisations des personnes et des machines ? Surveillez en permanence les résultats qui mettent en évidence l'accès public et l'accès intercompte. Réduisez l'accès public et l'accès intercompte aux seules ressources nécessitant ce type d'accès.

autoscaling-launch-config-public-IP désactivé

Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. EC2les ressources ne doivent pas être accessibles au public, car cela peut permettre un accès involontaire à vos applications ou à vos serveurs.
SEC-4 Comment détecter les événements de sécurité et comment y répondre ? Capturez et analysez les événements à partir des journaux et des métriques pour gagner en visibilité. Prenez des mesures en cas d'événements de sécurité et de menaces potentielles afin de sécuriser votre charge de travail.

api-gw-execution-logging-activé

APILa journalisation de la passerelle affiche des vues détaillées API des utilisateurs qui ont accédé auAPI. Ces informations offrent une visibilité sur les activités des utilisateurs.
SEC-4 Comment détecter les événements de sécurité et comment y répondre ? Capturez et analysez les événements à partir des journaux et des métriques pour gagner en visibilité. Prenez des mesures en cas d'événements de sécurité et de menaces potentielles afin de sécuriser votre charge de travail.

opensearch-audit-logging-enabled

Assurez-vous que la journalisation des audits est activée sur vos domaines Amazon OpenSearch Service. La journalisation des audits vous permet de suivre l'activité des utilisateurs sur vos OpenSearch domaines, notamment les réussites et les échecs d'authentification, les demandes OpenSearch, les modifications d'index et les requêtes de recherche entrantes.
SEC-4 Comment détecter les événements de sécurité et comment y répondre ? Capturez et analysez les événements à partir des journaux et des métriques pour gagner en visibilité. Prenez des mesures en cas d'événements de sécurité et de menaces potentielles afin de sécuriser votre charge de travail.

cloud-trail-cloud-watch-activé pour les journaux

Utilisez Amazon CloudWatch pour collecter et gérer de manière centralisée l'activité des événements du journal. L'inclusion de AWS CloudTrail données fournit des détails sur l'activité des API appels au sein de votre Compte AWS.
SEC-4 Comment détecter les événements de sécurité et comment y répondre ? Capturez et analysez les événements à partir des journaux et des métriques pour gagner en visibilité. Prenez des mesures en cas d'événements de sécurité et de menaces potentielles afin de sécuriser votre charge de travail.

cloudtrail-s3-dataevents-enabled

La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les Compte AWS informations qui ont accédé à un objet dans un compartiment Amazon S3, l'adresse IP et l'heure de l'événement.
SEC-4 Comment détecter les événements de sécurité et comment y répondre ? Capturez et analysez les événements à partir des journaux et des métriques pour gagner en visibilité. Prenez des mesures en cas d'événements de sécurité et de menaces potentielles afin de sécuriser votre charge de travail.

cw-loggroup-retention-period-vérifier

Assurez-vous que la durée minimale de conservation des données des journaux d'événements pour vos groupes de journaux est suffisante pour faciliter le dépannage et les enquêtes judiciaires. Le manque de données disponibles dans les journaux d'événements passés complique la reconstitution et l'identification des événements potentiellement malveillants.
SEC-4 Comment détecter les événements de sécurité et comment y répondre ? Capturez et analysez les événements à partir des journaux et des métriques pour gagner en visibilité. Prenez des mesures en cas d'événements de sécurité et de menaces potentielles afin de sécuriser votre charge de travail.

elasticsearch-logs-to-cloudwatch

Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. Les journaux d'erreurs de domaine peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
SEC-4 Comment détecter les événements de sécurité et comment y répondre ? Capturez et analysez les événements à partir des journaux et des métriques pour gagner en visibilité. Prenez des mesures en cas d'événements de sécurité et de menaces potentielles afin de sécuriser votre charge de travail.

opensearch-logs-to-cloudwatch

Assurez-vous que les journaux d'erreurs sont activés sur les domaines Amazon OpenSearch Service et qu'ils sont transmis à Amazon CloudWatch Logs à des fins de conservation et de réponse. OpenSearch Les journaux des erreurs de service peuvent faciliter les audits de sécurité et d'accès, ainsi que le diagnostic des problèmes de disponibilité.
SEC-4 Comment détecter les événements de sécurité et comment y répondre ? Capturez et analysez les événements à partir des journaux et des métriques pour gagner en visibilité. Prenez des mesures en cas d'événements de sécurité et de menaces potentielles afin de sécuriser votre charge de travail.

elb-logging-enabled

L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la ELB journalisation est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées auELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur.
SEC-4 Comment détecter les événements de sécurité et comment y répondre ? Capturez et analysez les événements à partir des journaux et des métriques pour gagner en visibilité. Prenez des mesures en cas d'événements de sécurité et de menaces potentielles afin de sécuriser votre charge de travail.

multi-region-cloudtrail-enabled

AWS CloudTrail enregistre les actions et les API appels de la console de AWS gestion. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. CloudTrail fournira les fichiers journaux de toutes les AWS régions à votre compartiment S3 si MULTI REGION _ CLOUD _ TRAIL _ ENABLED est activé. De plus, lors du AWS lancement d'une nouvelle région, le même parcours CloudTrail sera créé dans la nouvelle région. Par conséquent, vous recevrez des fichiers journaux contenant API l'activité de la nouvelle région sans aucune action.
SEC-4 Comment détecter les événements de sécurité et comment y répondre ? Capturez et analysez les événements à partir des journaux et des métriques pour gagner en visibilité. Prenez des mesures en cas d'événements de sécurité et de menaces potentielles afin de sécuriser votre charge de travail.

rds-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (RDSAmazon) est activée. Avec Amazon RDS Logging, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées.
SEC-4 Comment détecter les événements de sécurité et comment y répondre ? Capturez et analysez les événements à partir des journaux et des métriques pour gagner en visibilité. Prenez des mesures en cas d'événements de sécurité et de menaces potentielles afin de sécuriser votre charge de travail.

s3- bucket-logging-enabled

La journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3) permet de surveiller le réseau pour détecter d'éventuels événements de cybersécurité. Les événements sont surveillés en capturant des enregistrements détaillés pour les demandes envoyées à un compartiment Amazon S3. Chaque enregistrement du journal des accès fournit des détails sur une unique demande d'accès. Les détails incluent le demandeur, le nom du compartiment, l'heure de la demande, l'action de la demande, l'état de la réponse et un code d'erreur, le cas échéant.
SEC-4 Comment détecter les événements de sécurité et comment y répondre ? Capturez et analysez les événements à partir des journaux et des métriques pour gagner en visibilité. Prenez des mesures en cas d'événements de sécurité et de menaces potentielles afin de sécuriser votre charge de travail.

vpc-flow-logs-enabled

Les journaux de VPC flux fournissent des enregistrements détaillés contenant des informations sur le trafic IP à destination et en provenance des interfaces réseau de votre Amazon Virtual Private Cloud (AmazonVPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
SEC-4 Comment détecter les événements de sécurité et comment y répondre ? Capturez et analysez les événements à partir des journaux et des métriques pour gagner en visibilité. Prenez des mesures en cas d'événements de sécurité et de menaces potentielles afin de sécuriser votre charge de travail.

wafv2-logging-enabled

Pour faciliter la journalisation et la surveillance au sein de votre environnement, activez la journalisation AWS WAF (V2) sur le Web régional et mondialACLs. AWS WAFla journalisation fournit des informations détaillées sur le trafic analysé par votre site WebACL. Les journaux enregistrent l'heure à laquelle la demande AWS WAF a été reçue de votre AWS ressource, les informations relatives à la demande et une action pour la règle à laquelle chaque demande correspond.
SEC-4 Comment détecter les événements de sécurité et comment y répondre ? Capturez et analysez les événements à partir des journaux et des métriques pour gagner en visibilité. Prenez des mesures en cas d'événements de sécurité et de menaces potentielles afin de sécuriser votre charge de travail.

cloudtrail-security-trail-enabled

Cette règle permet de garantir l'utilisation des meilleures pratiques de sécurité AWS recommandées pour AWS CloudTrail, en vérifiant l'activation de plusieurs paramètres. Il s'agit notamment de l'utilisation du chiffrement des journaux, de la validation des journaux et de AWS CloudTrail l'activation dans plusieurs régions.
SEC-4 Comment détecter les événements de sécurité et comment y répondre ? Capturez et analysez les événements à partir des journaux et des métriques pour gagner en visibilité. Prenez des mesures en cas d'événements de sécurité et de menaces potentielles afin de sécuriser votre charge de travail.

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default :TRUE) et loggingEnabled (Config Default :TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
SEC-4 Comment détecter les événements de sécurité et comment y répondre ? Capturez et analysez les événements à partir des journaux et des métriques pour gagner en visibilité. Prenez des mesures en cas d'événements de sécurité et de menaces potentielles afin de sécuriser votre charge de travail.

guardduty-enabled-centralized

Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
SEC-4 Comment détecter les événements de sécurité et comment y répondre ? Capturez et analysez les événements à partir des journaux et des métriques pour gagner en visibilité. Prenez des mesures en cas d'événements de sécurité et de menaces potentielles afin de sécuriser votre charge de travail.

securityhub-enabled

AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services. AWS Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer et AWS Firewall Manager, ainsi AWS que des solutions partenaires.
SEC-4 Comment détecter les événements de sécurité et comment y répondre ? Capturez et analysez les événements à partir des journaux et des métriques pour gagner en visibilité. Prenez des mesures en cas d'événements de sécurité et de menaces potentielles afin de sécuriser votre charge de travail.

cloudwatch-alarm-action-check

Amazon CloudWatch émet une alerte lorsqu'un indicateur dépasse le seuil pour un certain nombre de périodes d'évaluation. L’alarme réalise une ou plusieurs actions en fonction de la valeur de la métrique ou de l’expression par rapport à un seuil sur un certain nombre de périodes. Cette règle nécessite une valeur pour alarmActionRequired (Config Default : True), insufficientDataAction Required (Config Default : True), okActionRequired (Config Default : False). La valeur réelle doit refléter les actions d'alarme de votre environnement.
SEC-5 Comment protéger vos ressources réseau ? Toute charge de travail disposant d'une certaine forme de connectivité réseau, qu'il s'agisse d'Internet ou d'un réseau privé, nécessite plusieurs couches de défense pour se protéger des menaces externes et internes basées sur le réseau.

elasticsearch-in-vpc-only

Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch OpenSearch Service (Service) se trouvent dans un Amazon Virtual Private Cloud (AmazonVPC). Un domaine de OpenSearch service au sein d'Amazon VPC permet une communication sécurisée entre le OpenSearch service et les autres services d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un NAT appareil ou d'une VPN connexion.
SEC-5 Comment protéger vos ressources réseau ? Toute charge de travail disposant d'une certaine forme de connectivité réseau, qu'il s'agisse d'Internet ou d'un réseau privé, nécessite plusieurs couches de défense pour se protéger des menaces externes et internes basées sur le réseau.

opensearch-in-vpc-only

Gérez l'accès au AWS cloud en vous assurant que les domaines Amazon OpenSearch Service se trouvent dans un Amazon Virtual Private Cloud (AmazonVPC). Un domaine Amazon OpenSearch Service au sein d'un Amazon VPC permet une communication sécurisée entre Amazon OpenSearch Service et d'autres services au sein d'Amazon VPC sans avoir besoin d'une passerelle Internet, d'un NAT appareil ou d'une VPN connexion.
SEC-5 Comment protéger vos ressources réseau ? Toute charge de travail disposant d'une certaine forme de connectivité réseau, qu'il s'agisse d'Internet ou d'un réseau privé, nécessite plusieurs couches de défense pour se protéger des menaces externes et internes basées sur le réseau.

ec2- instances-in-vpc

Déployez des instances Amazon Elastic Compute Cloud (AmazonEC2) au sein d'un Amazon Virtual Private Cloud (AmazonVPC) pour permettre une communication sécurisée entre une instance et d'autres services au sein d'AmazonVPC, sans avoir besoin de passerelle Internet, d'NATappareil ou de VPN connexion. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolation logique, les domaines situés au sein d'un Amazon VPC disposent d'une couche de sécurité supplémentaire par rapport aux domaines utilisant des points de terminaison publics. Attribuez EC2 des instances Amazon à un Amazon VPC pour gérer correctement l'accès.
SEC-5 Comment protéger vos ressources réseau ? Toute charge de travail disposant d'une certaine forme de connectivité réseau, qu'il s'agisse d'Internet ou d'un réseau privé, nécessite plusieurs couches de défense pour se protéger des menaces externes et internes basées sur le réseau.

lambda-inside-vpc

Déployez des fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud VPC (Amazon) pour une communication sécurisée entre une fonction et d'autres services au sein d'Amazon. VPC Avec cette configuration, il n'est pas nécessaire de disposer d'une passerelle Internet, d'un NAT appareil ou d'une VPN connexion. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolation logique, les domaines situés au sein d'un Amazon VPC disposent d'une couche de sécurité supplémentaire par rapport aux domaines utilisant des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un. VPC
SEC-5 Comment protéger vos ressources réseau ? Toute charge de travail disposant d'une certaine forme de connectivité réseau, qu'il s'agisse d'Internet ou d'un réseau privé, nécessite plusieurs couches de défense pour se protéger des menaces externes et internes basées sur le réseau.

redshift-enhanced-vpc-routing-activé

VPCLe routage amélioré oblige tout COPY le UNLOAD trafic entre le cluster et les référentiels de données à passer par votre AmazonVPC. Vous pouvez ensuite utiliser des VPC fonctionnalités telles que les groupes de sécurité et les listes de contrôle d'accès au réseau pour sécuriser le trafic réseau. Vous pouvez également utiliser les journaux de VPC flux pour surveiller le trafic réseau.
SEC-5 Comment protéger vos ressources réseau ? Toute charge de travail disposant d'une certaine forme de connectivité réseau, qu'il s'agisse d'Internet ou d'un réseau privé, nécessite plusieurs couches de défense pour se protéger des menaces externes et internes basées sur le réseau.

alb-waf-enabled

Assurez-vous qu' AWS WAFil est activé sur les Elastic Load Balancers (ELB) pour protéger les applications Web. A WAF permet de protéger vos applications Web ou APIs contre les exploits Web courants. Ces attaques Web peuvent affecter la disponibilité, compromettre la sécurité ou consommer des ressources excessives dans votre environnement.
SEC-5 Comment protéger vos ressources réseau ? Toute charge de travail disposant d'une certaine forme de connectivité réseau, qu'il s'agisse d'Internet ou d'un réseau privé, nécessite plusieurs couches de défense pour se protéger des menaces externes et internes basées sur le réseau.

api-gw-associated-with-guerre

AWS WAFvous permet de configurer un ensemble de règles (appelé liste de contrôle d'accès Web (WebACL)) qui autorisent, bloquent ou comptent les requêtes Web sur la base de règles et de conditions de sécurité Web personnalisables que vous définissez. Assurez-vous que votre stage Amazon API Gateway est associé à un WAF site Web ACL pour le protéger des attaques malveillantes
SEC-5 Comment protéger vos ressources réseau ? Toute charge de travail disposant d'une certaine forme de connectivité réseau, qu'il s'agisse d'Internet ou d'un réseau privé, nécessite plusieurs couches de défense pour se protéger des menaces externes et internes basées sur le réseau.

dms-replication-not-public

Gérez l'accès au AWS cloud en vous assurant que les instances de DMS réplication ne sont pas accessibles au public. DMSles instances de réplication peuvent contenir des informations sensibles et un contrôle d'accès est requis pour ces comptes.
SEC-5 Comment protéger vos ressources réseau ? Toute charge de travail disposant d'une certaine forme de connectivité réseau, qu'il s'agisse d'Internet ou d'un réseau privé, nécessite plusieurs couches de défense pour se protéger des menaces externes et internes basées sur le réseau.

ebs-snapshot-public-restorable-vérifier

Gérez l'accès au AWS cloud en vous assurant que les EBS instantanés ne sont pas restaurables publiquement. EBSles instantanés de volume peuvent contenir des informations sensibles et un contrôle d'accès est requis pour ces comptes.
SEC-5 Comment protéger vos ressources réseau ? Toute charge de travail disposant d'une certaine forme de connectivité réseau, qu'il s'agisse d'Internet ou d'un réseau privé, nécessite plusieurs couches de défense pour se protéger des menaces externes et internes basées sur le réseau.

ec2- instance-multiple-eni-check

Cette règle vérifie si vos instances Amazon Elastic Compute Cloud (AmazonEC2) en possèdent plusieursENIs. Le fait d'en avoir plusieurs ENIs peut entraîner des instances à double hébergement, c'est-à-dire des instances dotées de plusieurs sous-réseaux. Cela peut ajouter à la complexité de la sécurité du réseau et introduire des chemins et des accès non intentionnels au réseau.
SEC-5 Comment protéger vos ressources réseau ? Toute charge de travail disposant d'une certaine forme de connectivité réseau, qu'il s'agisse d'Internet ou d'un réseau privé, nécessite plusieurs couches de défense pour se protéger des menaces externes et internes basées sur le réseau.

ec2- instance-no-public-ip

Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (AmazonEC2) ne sont pas accessibles au public. Les EC2 instances Amazon peuvent contenir des informations sensibles et un contrôle d'accès est requis pour ces comptes.
SEC-5 Comment protéger vos ressources réseau ? Toute charge de travail disposant d'une certaine forme de connectivité réseau, qu'il s'agisse d'Internet ou d'un réseau privé, nécessite plusieurs couches de défense pour se protéger des menaces externes et internes basées sur le réseau.

emr-master-no-public-IP

Gérez l'accès au AWS cloud en vous assurant que les nœuds EMR principaux du cluster Amazon ne sont pas accessibles au public. Les nœuds EMR principaux du cluster Amazon peuvent contenir des informations sensibles et un contrôle d'accès est requis pour ces comptes.
SEC-5 Comment protéger vos ressources réseau ? Toute charge de travail disposant d'une certaine forme de connectivité réseau, qu'il s'agisse d'Internet ou d'un réseau privé, nécessite plusieurs couches de défense pour se protéger des menaces externes et internes basées sur le réseau.

lambda-function-public-access-interdit

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les fonctions AWS Lambda ne sont pas accessibles au public. Un accès public peut potentiellement entraîner une dégradation de la disponibilité des ressources.
SEC-5 Comment protéger vos ressources réseau ? Toute charge de travail disposant d'une certaine forme de connectivité réseau, qu'il s'agisse d'Internet ou d'un réseau privé, nécessite plusieurs couches de défense pour se protéger des menaces externes et internes basées sur le réseau.

no-unrestricted-route-to-igw

Assurez-vous que les tables de EC2 routage Amazon ne disposent pas de routes illimitées vers une passerelle Internet. La suppression ou la limitation de l'accès à Internet pour les charges de travail au sein d'Amazon VPCs peut réduire les accès involontaires au sein de votre environnement.
SEC-5 Comment protéger vos ressources réseau ? Toute charge de travail disposant d'une certaine forme de connectivité réseau, qu'il s'agisse d'Internet ou d'un réseau privé, nécessite plusieurs couches de défense pour se protéger des menaces externes et internes basées sur le réseau.

rds-instance-public-access-vérifier

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (RDSAmazon) ne sont pas publiques. Les instances RDS de base de données Amazon peuvent contenir des informations sensibles, et des principes et un contrôle d'accès sont requis pour ces comptes.
SEC-5 Comment protéger vos ressources réseau ? Toute charge de travail disposant d'une certaine forme de connectivité réseau, qu'il s'agisse d'Internet ou d'un réseau privé, nécessite plusieurs couches de défense pour se protéger des menaces externes et internes basées sur le réseau.

rds-snapshots-public-prohibited

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les instances Amazon Relational Database Service (RDSAmazon) ne sont pas publiques. Les instances RDS de base de données Amazon peuvent contenir des informations et des principes sensibles et un contrôle d'accès est requis pour ces comptes.
SEC-5 Comment protéger vos ressources réseau ? Toute charge de travail disposant d'une certaine forme de connectivité réseau, qu'il s'agisse d'Internet ou d'un réseau privé, nécessite plusieurs couches de défense pour se protéger des menaces externes et internes basées sur le réseau.

redshift-cluster-public-access-vérifier

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes.
SEC-5 Comment protéger vos ressources réseau ? Toute charge de travail disposant d'une certaine forme de connectivité réseau, qu'il s'agisse d'Internet ou d'un réseau privé, nécessite plusieurs couches de défense pour se protéger des menaces externes et internes basées sur le réseau.

restricted-ssh

Les groupes de sécurité Amazon Elastic Compute Cloud (AmazonEC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS Ne pas autoriser le trafic entrant (ou distant) de 0.0.0.0/0 vers le port 22 sur vos ressources vous aide à restreindre l'accès à distance.
SEC-5 Comment protéger vos ressources réseau ? Toute charge de travail disposant d'une certaine forme de connectivité réseau, qu'il s'agisse d'Internet ou d'un réseau privé, nécessite plusieurs couches de défense pour se protéger des menaces externes et internes basées sur le réseau.

s3- account-level-public-access -blocs-périodique

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation.
SEC-5 Comment protéger vos ressources réseau ? Toute charge de travail disposant d'une certaine forme de connectivité réseau, qu'il s'agisse d'Internet ou d'un réseau privé, nécessite plusieurs couches de défense pour se protéger des menaces externes et internes basées sur le réseau.

s3- bucket-level-public-access -interdit

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment.
SEC-5 Comment protéger vos ressources réseau ? Toute charge de travail disposant d'une certaine forme de connectivité réseau, qu'il s'agisse d'Internet ou d'un réseau privé, nécessite plusieurs couches de défense pour se protéger des menaces externes et internes basées sur le réseau.

s3- bucket-public-read-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
SEC-5 Comment protéger vos ressources réseau ? Toute charge de travail disposant d'une certaine forme de connectivité réseau, qu'il s'agisse d'Internet ou d'un réseau privé, nécessite plusieurs couches de défense pour se protéger des menaces externes et internes basées sur le réseau.

s3- bucket-public-write-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
SEC-5 Comment protéger vos ressources réseau ? Toute charge de travail disposant d'une certaine forme de connectivité réseau, qu'il s'agisse d'Internet ou d'un réseau privé, nécessite plusieurs couches de défense pour se protéger des menaces externes et internes basées sur le réseau.

sagemaker-notebook-no-direct-accès à Internet

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les SageMaker blocs-notes Amazon ne permettent pas un accès direct à Internet. En empêchant l'accès direct à Internet, vous pouvez empêcher les utilisateurs non autorisés d'accéder à des données sensibles.
SEC-5 Comment protéger vos ressources réseau ? Toute charge de travail disposant d'une certaine forme de connectivité réseau, qu'il s'agisse d'Internet ou d'un réseau privé, nécessite plusieurs couches de défense pour se protéger des menaces externes et internes basées sur le réseau.

ssm-document-not-public

Assurez-vous que AWS les documents de Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos SSM documents. Un SSM document public peut exposer des informations sur votre compte, vos ressources et vos processus internes.
SEC-5 Comment protéger vos ressources réseau ? Toute charge de travail disposant d'une certaine forme de connectivité réseau, qu'il s'agisse d'Internet ou d'un réseau privé, nécessite plusieurs couches de défense pour se protéger des menaces externes et internes basées sur le réseau.

subnet-auto-assign-public-IP désactivé

Gérez l'accès au AWS cloud en vous assurant que les sous-réseaux Amazon Virtual Private Cloud (VPC) ne se voient pas automatiquement attribuer une adresse IP publique. Les instances Amazon Elastic Compute Cloud (EC2) lancées dans des sous-réseaux sur lesquels cet attribut est activé ont une adresse IP publique attribuée à leur interface réseau principale.
SEC-5 Comment protéger vos ressources réseau ? Toute charge de travail disposant d'une certaine forme de connectivité réseau, qu'il s'agisse d'Internet ou d'un réseau privé, nécessite plusieurs couches de défense pour se protéger des menaces externes et internes basées sur le réseau.

vpc-default-security-group-fermé

Les groupes de sécurité Amazon Elastic Compute Cloud (AmazonEC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources. AWS La restriction de tout le trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos AWS ressources.
SEC-5 Comment protéger vos ressources réseau ? Toute charge de travail disposant d'une certaine forme de connectivité réseau, qu'il s'agisse d'Internet ou d'un réseau privé, nécessite plusieurs couches de défense pour se protéger des menaces externes et internes basées sur le réseau.

autoscaling-launch-config-public-IP désactivé

Si vous configurez vos interfaces réseau avec une adresse IP publique, les ressources associées à ces interfaces réseau sont accessibles depuis Internet. EC2les ressources ne doivent pas être accessibles au public, car cela peut permettre un accès involontaire à vos applications ou à vos serveurs.
SEC-5 Comment protéger vos ressources réseau ? Toute charge de travail disposant d'une certaine forme de connectivité réseau, qu'il s'agisse d'Internet ou d'un réseau privé, nécessite plusieurs couches de défense pour se protéger des menaces externes et internes basées sur le réseau.

restricted-common-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (AmazonEC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. Cette règle vous permet de définir éventuellement blockedPort 1 à blockedPort 5 paramètres (Config Defaults : 20,21,3389,3306,4333). Les valeurs réelles doivent refléter les politiques de votre organisation.
SEC-5 Comment protéger vos ressources réseau ? Toute charge de travail disposant d'une certaine forme de connectivité réseau, qu'il s'agisse d'Internet ou d'un réseau privé, nécessite plusieurs couches de défense pour se protéger des menaces externes et internes basées sur le réseau.

vpc-sg-open-only-to-authorized-ports

Gérez l'accès aux ressources dans le AWS cloud en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (AmazonEC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En limitant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0.0/0), il est possible de contrôler l'accès à distance aux systèmes internes.
SEC-5 Comment protéger vos ressources informatiques ? Les ressources informatiques de votre charge de travail nécessitent plusieurs couches de protection contre les menaces externes et internes. Les ressources de calcul incluent EC2 les instances, les conteneurs, les fonctions AWS Lambda, les services de base de données, les appareils IoT, etc.

waf-regional-rule-not-vide

Assurez-vous AWS WAF que votre règle n'est pas vide. Une règle sans conditions peut entraîner un comportement involontaire.
SEC-5 Comment protéger vos ressources informatiques ? Les ressources informatiques de votre charge de travail nécessitent plusieurs couches de protection contre les menaces externes et internes. Les ressources de calcul incluent EC2 les instances, les conteneurs, les fonctions AWS Lambda, les services de base de données, les appareils IoT, etc.

waf-regional-rulegroup-not-vide

Assurez-vous AWS WAF que votre groupe de règles n'est pas vide. Un groupe de règles vide peut entraîner un comportement involontaire.
SEC-5 Comment protéger vos ressources informatiques ? Les ressources informatiques de votre charge de travail nécessitent plusieurs couches de protection contre les menaces externes et internes. Les ressources de calcul incluent EC2 les instances, les conteneurs, les fonctions AWS Lambda, les services de base de données, les appareils IoT, etc.

waf-regional-webacl-not-vide

Un site Web ACL attaché à un AWS WAF peut contenir un ensemble de règles et de groupes de règles permettant d'inspecter et de contrôler les requêtes Web. Si un site Web ACL est vide, le trafic Web passe sans être détecté ou traité par leWAF.
SEC-5 Comment protéger vos ressources informatiques ? Les ressources informatiques de votre charge de travail nécessitent plusieurs couches de protection contre les menaces externes et internes. Les ressources de calcul incluent EC2 les instances, les conteneurs, les fonctions AWS Lambda, les services de base de données, les appareils IoT, etc.

vpc-network-acl-unused-vérifier

Cette règle garantit que les listes de contrôle d'accès au réseau Amazon Virtual Private Cloud (VPC) sont utilisées. La surveillance des listes de contrôle d'accès réseau inutilisées peut faciliter l'inventaire et la gestion précis de votre environnement.
SEC-5 Comment protéger vos ressources réseau ? Toute charge de travail disposant d'une certaine forme de connectivité réseau, qu'il s'agisse d'Internet ou d'un réseau privé, nécessite plusieurs couches de défense pour se protéger des menaces externes et internes basées sur le réseau.

guardduty-enabled-centralized

Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.
SEC-5 Comment protéger vos ressources réseau ? Toute charge de travail disposant d'une certaine forme de connectivité réseau, qu'il s'agisse d'Internet ou d'un réseau privé, nécessite plusieurs couches de défense pour se protéger des menaces externes et internes basées sur le réseau.

vpc-flow-logs-enabled

Les journaux de VPC flux fournissent des enregistrements détaillés contenant des informations sur le trafic IP à destination et en provenance des interfaces réseau de votre Amazon Virtual Private Cloud (AmazonVPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
SEC-6 Comment protéger vos ressources informatiques ? Les ressources informatiques de votre charge de travail nécessitent plusieurs couches de protection contre les menaces externes et internes. Les ressources de calcul incluent EC2 les instances, les conteneurs, les fonctions AWS Lambda, les services de base de données, les appareils IoT, etc.

rds-automatic-minor-version-activé pour la mise à niveau

Activez les mises à niveau automatiques des versions mineures sur vos instances Amazon Relational Database Service RDS () pour vous assurer que les dernières mises à jour mineures du système de gestion de base de données relationnelle RDBMS () sont installées, qui peuvent inclure des correctifs de sécurité et des corrections de bogues.
SEC-6 Comment protéger vos ressources informatiques ? Les ressources informatiques de votre charge de travail nécessitent plusieurs couches de protection contre les menaces externes et internes. Les ressources de calcul incluent EC2 les instances, les conteneurs, les fonctions AWS Lambda, les services de base de données, les appareils IoT, etc.

cloud-trail-log-file-activé pour la validation

Utilisez la validation des fichiers AWS CloudTrail journaux pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonctionnalité est développée à l'aide d'algorithmes standard : SHA -256 pour le hachage et SHA -256 RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection.
SEC-6 Comment protéger vos ressources informatiques ? Les ressources informatiques de votre charge de travail nécessitent plusieurs couches de protection contre les menaces externes et internes. Les ressources de calcul incluent EC2 les instances, les conteneurs, les fonctions AWS Lambda, les services de base de données, les appareils IoT, etc.

cloudtrail-security-trail-enabled

Cette règle permet de garantir l'utilisation des meilleures pratiques de sécurité AWS recommandées pour AWS CloudTrail, en vérifiant l'activation de plusieurs paramètres. Il s'agit notamment de l'utilisation du chiffrement des journaux, de la validation des journaux et de AWS CloudTrail l'activation dans plusieurs régions.
SEC-6 Comment protéger vos ressources informatiques ? Les ressources informatiques de votre charge de travail nécessitent plusieurs couches de protection contre les menaces externes et internes. Les ressources de calcul incluent EC2 les instances, les conteneurs, les fonctions AWS Lambda, les services de base de données, les appareils IoT, etc.

elastic-beanstalk-managed-updates-activé

L'activation des mises à jour de plateforme gérées pour un environnement Amazon Elastic Beanstalk garantit l'installation des derniers correctifs, mises à jour et fonctionnalités de la plateforme disponibles pour l'environnement. La sécurisation des systèmes passe par la mise à jour de l'installation des correctifs.
SEC-6 Comment protéger vos ressources informatiques ? Les ressources informatiques de votre charge de travail nécessitent plusieurs couches de protection contre les menaces externes et internes. Les ressources de calcul incluent EC2 les instances, les conteneurs, les fonctions AWS Lambda, les services de base de données, les appareils IoT, etc.

lambda-inside-vpc

Déployez des fonctions AWS Lambda au sein d'un Amazon Virtual Private Cloud VPC (Amazon) pour une communication sécurisée entre une fonction et d'autres services au sein d'Amazon. VPC Avec cette configuration, il n'est pas nécessaire de disposer d'une passerelle Internet, d'un NAT appareil ou d'une VPN connexion. Tout le trafic reste sécurisé dans le AWS cloud. En raison de leur isolation logique, les domaines situés au sein d'un Amazon VPC disposent d'une couche de sécurité supplémentaire par rapport aux domaines utilisant des points de terminaison publics. Pour gérer correctement l'accès, les fonctions AWS Lambda doivent être attribuées à un. VPC
SEC-6 Comment protéger vos ressources informatiques ? Les ressources informatiques de votre charge de travail nécessitent plusieurs couches de protection contre les menaces externes et internes. Les ressources de calcul incluent EC2 les instances, les conteneurs, les fonctions AWS Lambda, les services de base de données, les appareils IoT, etc.

ecr-private-image-scanning-activé

La numérisation d'images Amazon Elastic Container Repository (ECR) permet d'identifier les vulnérabilités logicielles dans les images de vos conteneurs. L'activation de la numérisation d'images dans ECR les référentiels ajoute une couche de vérification de l'intégrité et de la sécurité des images stockées.
SEC-6 Comment protéger vos ressources informatiques ? Les ressources informatiques de votre charge de travail nécessitent plusieurs couches de protection contre les menaces externes et internes. Les ressources de calcul incluent EC2 les instances, les conteneurs, les fonctions AWS Lambda, les services de base de données, les appareils IoT, etc.

ecs-container-insights-enabled

La surveillance joue un rôle important dans le maintien de la fiabilité, de la disponibilité et des performances d'Amazon Elastic Container Service (ECS) et de vos AWS solutions. Conteneur Insights fournit également des informations de diagnostic (par exemple sur les échecs de redémarrage des conteneurs) pour vous aider à isoler les problèmes et à les résoudre rapidement.
SEC-6 Comment protéger vos ressources informatiques ? Les ressources informatiques de votre charge de travail nécessitent plusieurs couches de protection contre les menaces externes et internes. Les ressources de calcul incluent EC2 les instances, les conteneurs, les fonctions AWS Lambda, les services de base de données, les appareils IoT, etc.

ecs-fargate-latest-platform-version

Les mises à jour de sécurité et les correctifs sont déployés automatiquement pour vos tâches AWS Fargate. Si un problème de sécurité affectant une version de la plateforme AWS Fargate est détecté AWS , corrige la version de la plate-forme. Pour faciliter la gestion des correctifs de vos tâches Amazon Elastic Container Service (ECS) exécutant AWS Fargate, mettez à jour les tâches autonomes de vos services afin d'utiliser la version la plus récente de la plateforme.
SEC-6 Comment protéger vos ressources informatiques ? Les ressources informatiques de votre charge de travail nécessitent plusieurs couches de protection contre les menaces externes et internes. Les ressources de calcul incluent EC2 les instances, les conteneurs, les fonctions AWS Lambda, les services de base de données, les appareils IoT, etc.

redshift-cluster-maintenancesettings-check

Cette règle garantit que les clusters Amazon Redshift disposent des paramètres préférés de votre organisation. Plus précisément, qu'ils disposent de fenêtres de maintenance préférées et de périodes de conservation des instantanés automatisées pour la base de données. Cette règle vous oblige à définir le allowVersionUpgrade. Par défaut, la valeur est true. Il vous permet également de définir éventuellement le preferredMaintenanceWindow (la valeur par défaut est samedi : 16h00 - samedi : 16h30) et la automatedSnapshotRetention période (la valeur par défaut est 1). Les valeurs réelles doivent refléter les politiques de votre organisation.
SEC-6 Comment protéger vos ressources informatiques ? Les ressources informatiques de votre charge de travail nécessitent plusieurs couches de protection contre les menaces externes et internes. Les ressources de calcul incluent EC2 les instances, les conteneurs, les fonctions AWS Lambda, les services de base de données, les appareils IoT, etc.

ec2-imdsv2-check

Assurez-vous que la méthode Instance Metadata Service Version 2 (IMDSv2) est activée pour protéger l'accès et le contrôle des métadonnées des instances Amazon Elastic Compute Cloud (AmazonEC2). La IMDSv2 méthode utilise des commandes basées sur les sessions. AvecIMDSv2, des contrôles peuvent être mis en œuvre pour limiter les modifications apportées aux métadonnées de l'instance.
SEC-6 Comment protéger vos ressources informatiques ? Les ressources informatiques de votre charge de travail nécessitent plusieurs couches de protection contre les menaces externes et internes. Les ressources de calcul incluent EC2 les instances, les conteneurs, les fonctions AWS Lambda, les services de base de données, les appareils IoT, etc.

ec2- instance-multiple-eni-check

Cette règle vérifie si vos instances Amazon Elastic Compute Cloud (AmazonEC2) en possèdent plusieursENIs. Le fait d'en avoir plusieurs ENIs peut entraîner des instances à double hébergement, c'est-à-dire des instances dotées de plusieurs sous-réseaux. Cela peut ajouter à la complexité de la sécurité du réseau et introduire des chemins et des accès non intentionnels au réseau.
SEC-6 Comment protéger vos ressources informatiques ? Les ressources informatiques de votre charge de travail nécessitent plusieurs couches de protection contre les menaces externes et internes. Les ressources de calcul incluent EC2 les instances, les conteneurs, les fonctions AWS Lambda, les services de base de données, les appareils IoT, etc.

ec2- instance-no-public-ip

Gérez l'accès au AWS cloud en vous assurant que les instances Amazon Elastic Compute Cloud (AmazonEC2) ne sont pas accessibles au public. Les EC2 instances Amazon peuvent contenir des informations sensibles et un contrôle d'accès est requis pour ces comptes.
SEC-6 Comment protéger vos ressources informatiques ? Les ressources informatiques de votre charge de travail nécessitent plusieurs couches de protection contre les menaces externes et internes. Les ressources de calcul incluent EC2 les instances, les conteneurs, les fonctions AWS Lambda, les services de base de données, les appareils IoT, etc.

ec2- instance-profile-attached

EC2les profils d'instance transmettent un IAM rôle à une EC2 instance. L'association d'un profil d'instance à vos instances peut faciliter la gestion du moindre privilège et des autorisations.
SEC-6 Comment protéger vos ressources informatiques ? Les ressources informatiques de votre charge de travail nécessitent plusieurs couches de protection contre les menaces externes et internes. Les ressources de calcul incluent EC2 les instances, les conteneurs, les fonctions AWS Lambda, les services de base de données, les appareils IoT, etc.

ec2- -manager instance-managed-by-systems

Un inventaire des plateformes logicielles et des applications au sein de l'organisation est possible en gérant les instances Amazon Elastic Compute Cloud (AmazonEC2) avec AWS Systems Manager. Utilisez AWS Systems Manager pour fournir des configurations système détaillées, les niveaux de correctif du système d'exploitation, le nom et le type de service, les installations logicielles, le nom, l'éditeur et la version de l'application, ainsi que d'autres informations sur votre environnement.
SEC-6 Comment protéger vos ressources informatiques ? Les ressources informatiques de votre charge de travail nécessitent plusieurs couches de protection contre les menaces externes et internes. Les ressources de calcul incluent EC2 les instances, les conteneurs, les fonctions AWS Lambda, les services de base de données, les appareils IoT, etc.

ec2- -eni-périodique security-group-attached-to

Cette règle garantit que les groupes de sécurité sont attachés à une instance Amazon Elastic Compute Cloud (AmazonEC2) ou à unENI. Cette règle permet de surveiller les groupes de sécurité non utilisés dans l'inventaire et de gérer votre environnement.
SEC-6 Comment protéger vos ressources informatiques ? Les ressources informatiques de votre charge de travail nécessitent plusieurs couches de protection contre les menaces externes et internes. Les ressources de calcul incluent EC2 les instances, les conteneurs, les fonctions AWS Lambda, les services de base de données, les appareils IoT, etc.

ec2-stopped-instance

Activez cette règle pour faciliter la configuration de base des instances Amazon Elastic Compute Cloud (AmazonEC2) en vérifiant si les EC2 instances Amazon ont été arrêtées pendant plus de jours que le nombre de jours autorisé, conformément aux normes de votre organisation.
SEC-6 Comment protéger vos ressources informatiques ? Les ressources informatiques de votre charge de travail nécessitent plusieurs couches de protection contre les menaces externes et internes. Les ressources de calcul incluent EC2 les instances, les conteneurs, les fonctions AWS Lambda, les services de base de données, les appareils IoT, etc.

ec2- volume-inuse-check

Cette règle garantit que les volumes Amazon Elastic Block Store attachés aux instances Amazon Elastic Compute Cloud (AmazonEC2) sont marqués pour suppression lorsqu'une instance est résiliée. Si un EBS volume Amazon n'est pas supprimé lorsque l'instance à laquelle il est attaché est résiliée, cela peut enfreindre le concept de moindre fonctionnalité.
SEC-6 Comment protéger vos ressources informatiques ? Les ressources informatiques de votre charge de travail nécessitent plusieurs couches de protection contre les menaces externes et internes. Les ressources de calcul incluent EC2 les instances, les conteneurs, les fonctions AWS Lambda, les services de base de données, les appareils IoT, etc.

ec2- -check managedinstance-association-compliance-status

Utilisez AWS les associations de Systems Manager pour vous aider à inventorier les plateformes logicielles et les applications au sein d'une organisation. AWS Systems Manager attribue un état de configuration à vos instances gérées et vous permet de définir des niveaux de référence pour les niveaux de correctifs du système d'exploitation, les installations de logiciels, les configurations d'applications et d'autres informations relatives à votre environnement.
SEC-6 Comment protéger vos ressources informatiques ? Les ressources informatiques de votre charge de travail nécessitent plusieurs couches de protection contre les menaces externes et internes. Les ressources de calcul incluent EC2 les instances, les conteneurs, les fonctions AWS Lambda, les services de base de données, les appareils IoT, etc.

ec2- -check managedinstance-patch-compliance-status

Activez cette règle pour faciliter l'identification et la documentation des vulnérabilités d'Amazon Elastic Compute Cloud (AmazonEC2). La règle vérifie si les correctifs d'EC2instance Amazon sont conformes dans AWS Systems Manager conformément aux politiques et procédures de votre entreprise.
SEC-8 Comment protéger vos données au repos ? Protégez vos données au repos en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de mauvaise gestion.

api-gw-cache-enabledet crypté

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour le cache de votre stage API Gateway. Étant donné que des données sensibles peuvent être capturées pour API cette méthode, activez le chiffrement au repos pour protéger ces données.
SEC-8 Comment protéger vos données au repos ? Protégez vos données au repos en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de mauvaise gestion.

backup-recovery-point-encrypted

Assurez-vous que le chiffrement est activé pour vos points AWS de restauration Backup. Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données.
SEC-8 Comment protéger vos données au repos ? Protégez vos données au repos en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de mauvaise gestion.

codebuild-project-artifact-encryption

Pour protéger les données sensibles au repos, assurez-vous que le chiffrement est activé pour vos AWS CodeBuild artefacts.
SEC-8 Comment protéger vos données au repos ? Protégez vos données au repos en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de mauvaise gestion.

codebuild-project-sChiffré à 3 journaux

Pour protéger les données sensibles au repos, assurez-vous que le chiffrement est activé pour vos AWS CodeBuild journaux stockés dans Amazon S3.
SEC-8 Comment protéger vos données au repos ? Protégez vos données au repos en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de mauvaise gestion.

kms-cmk-not-scheduled-pour suppression

Pour protéger les données inactives, assurez-vous qu'il n'est pas prévu de supprimer les clés principales du client (CMKs) nécessaires dans le service de gestion des AWS clés (AWS KMS). La suppression de clés étant parfois nécessaire, cette règle peut aider à vérifier toutes les clés dont la suppression est prévue, au cas où la suppression d'une clé aurait été planifiée par inadvertance.
SEC-8 Comment protéger vos données au repos ? Protégez vos données au repos en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de mauvaise gestion.

cloud-trail-encryption-enabled

Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le cryptage est activé pour vos AWS CloudTrail pistes.
SEC-8 Comment protéger vos données au repos ? Protégez vos données au repos en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de mauvaise gestion.

cloudwatch-log-group-encrypted

Pour protéger les données sensibles au repos, assurez-vous que le chiffrement est activé pour vos Amazon CloudWatch Log Groups.
SEC-8 Comment protéger vos données au repos ? Protégez vos données au repos en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de mauvaise gestion.

dynamodb-table-encrypted-kms

Assurez-vous que le chiffrement est activé pour vos tables Amazon DynamoDB. Comme il peut y avoir des données sensibles au repos dans ces tables, activez le chiffrement au repos pour protéger ces données. Par défaut, les tables DynamoDB sont chiffrées à l'aide AWS d'une clé principale propre au client (). CMK
SEC-8 Comment protéger vos données au repos ? Protégez vos données au repos en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de mauvaise gestion.

ec2- ebs-encryption-by-default

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (AmazonEBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données.
SEC-8 Comment protéger vos données au repos ? Protégez vos données au repos en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de mauvaise gestion.

efs-encrypted-check

Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour votre Amazon Elastic File System (EFS).
SEC-8 Comment protéger vos données au repos ? Protégez vos données au repos en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de mauvaise gestion.

elasticsearch-encrypted-at-rest

Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch OpenSearch Service (Service).
SEC-8 Comment protéger vos données au repos ? Protégez vos données au repos en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de mauvaise gestion.

opensearch-encrypted-at-rest

Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos domaines Amazon OpenSearch Service.
SEC-8 Comment protéger vos données au repos ? Protégez vos données au repos en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de mauvaise gestion.

encrypted-volumes

Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (AmazonEBS).
SEC-8 Comment protéger vos données au repos ? Protégez vos données au repos en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de mauvaise gestion.

rds-snapshot-encrypted

Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (RDSAmazon). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données.
SEC-8 Comment protéger vos données au repos ? Protégez vos données au repos en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de mauvaise gestion.

rds-storage-encrypted

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (RDSAmazon). Étant donné que des données sensibles peuvent exister au repos dans RDS les instances Amazon, activez le chiffrement au repos pour protéger ces données.
SEC-8 Comment protéger vos données au repos ? Protégez vos données au repos en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de mauvaise gestion.

redshift-cluster-configuration-check

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle nécessite qu'une valeur soit définie pour clusterDbEncrypted (Config Default :TRUE) et loggingEnabled (Config Default :TRUE). Les valeurs réelles doivent refléter les politiques de votre organisation.
SEC-8 Comment protéger vos données au repos ? Protégez vos données au repos en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de mauvaise gestion.

redshift-cluster-kms-enabled

Pour protéger les données au repos, assurez-vous que le chiffrement avec AWS Key Management Service (AWS KMS) est activé pour votre cluster Amazon Redshift. Comme il peut y avoir des données sensibles au repos dans les clusters Redshift, activez le chiffrement au repos pour protéger ces données.
SEC-8 Comment protéger vos données au repos ? Protégez vos données au repos en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de mauvaise gestion.

compatible avec bucket-server-side-encryption s3

Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données.
SEC-8 Comment protéger vos données au repos ? Protégez vos données au repos en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de mauvaise gestion.

s3- default-encryption-kms

Assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans un compartiment Amazon S3, activez le chiffrement au repos pour protéger ces données.
SEC-8 Comment protéger vos données au repos ? Protégez vos données au repos en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de mauvaise gestion.

sagemaker-endpoint-configuration-kms-configuré par clé

Pour protéger les données au repos, assurez-vous que le chiffrement avec AWS Key Management Service (AWS KMS) est activé pour votre SageMaker terminal. Étant donné que les données sensibles peuvent exister au repos sur le SageMaker terminal, activez le chiffrement au repos pour protéger ces données.
SEC-8 Comment protéger vos données au repos ? Protégez vos données au repos en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de mauvaise gestion.

sagemaker-notebook-instance-kms-configuré par clé

Pour protéger les données au repos, assurez-vous que le chiffrement avec le service de gestion des AWS clés (AWS KMS) est activé pour votre SageMaker ordinateur portable. Étant donné que des données sensibles peuvent exister au repos dans le SageMaker bloc-notes, activez le chiffrement au repos pour protéger ces données.
SEC-8 Comment protéger vos données au repos ? Protégez vos données au repos en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de mauvaise gestion.

secretsmanager-using-cmk

Pour protéger les données au repos, assurez-vous que le chiffrement avec AWS Key Management Service (AWS KMS) est activé pour les AWS secrets de Secrets Manager. Comme il peut y avoir des données sensibles au repos dans les secrets de Secrets Manager, activez le chiffrement au repos pour protéger ces données.
SEC-8 Comment protéger vos données au repos ? Protégez vos données au repos en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de mauvaise gestion.

sns-encrypted-kms

Pour protéger les données au repos, assurez-vous que vos rubriques Amazon Simple Notification Service (AmazonSNS) nécessitent un chiffrement à l'aide du AWS Key Management Service (AWS KMS). Comme il peut y avoir des données sensibles au repos dans les messages publiés, activez le chiffrement au repos pour protéger ces données.
SEC-8 Comment protéger vos données au repos ? Protégez vos données au repos en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de mauvaise gestion.

s3- bucket-versioning-enabled

La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative.
SEC-8 Comment protéger vos données au repos ? Protégez vos données au repos en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de mauvaise gestion.

account-part-of-organizations

La gestion centralisée Comptes AWS au sein des AWS Organisations permet de garantir la conformité des comptes. L'absence de gouvernance centralisée des comptes peut entraîner des configurations de comptes incohérentes, ce qui peut exposer des ressources et des données sensibles.
SEC-8 Comment protéger vos données au repos ? Protégez vos données au repos en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de mauvaise gestion.

s3- account-level-public-access -blocs-périodique

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle vous permet de définir éventuellement les paramètres ignorePublicAcls (Config Default : True), blockPublicPolicy (Config Default : True), blockPublicAcls (Config Default : True) et restrictPublicBuckets les paramètres (Config Default : True). Les valeurs réelles doivent refléter les politiques de votre organisation.
SEC-8 Comment protéger vos données au repos ? Protégez vos données au repos en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de mauvaise gestion.

s3- bucket-level-public-access -interdit

Gérez l'accès aux ressources dans le AWS cloud en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public au niveau du compartiment.
SEC-8 Comment protéger vos données au repos ? Protégez vos données au repos en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de mauvaise gestion.

s3- bucket-public-read-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
SEC-8 Comment protéger vos données au repos ? Protégez vos données au repos en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de mauvaise gestion.

s3- bucket-public-write-prohibited

Gérez l'accès aux ressources dans le AWS cloud en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données.
SEC-9 Comment protéger vos données en transit ? Protégez vos données en transit en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de perte.

acm-certificate-expiration-check

Assurez-vous que l'intégrité du réseau est protégée en vous assurant que les certificats X509 sont émis par AWS ACM. Ces certificats doivent être valides et non expirés. Cette règle nécessite une valeur pour daysToExpiration (valeur des meilleures pratiques de sécuritéAWS fondamentales : 90). La valeur réelle doit refléter les politiques de votre organisation.
SEC-9 Comment protéger vos données en transit ? Protégez vos données en transit en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de perte.

elbv2- acm-certificate-required

Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, approvisionner et déployer des TLS certificats publics et SSL privés avec des AWS services et des ressources internes.
SEC-9 Comment protéger vos données en transit ? Protégez vos données en transit en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de perte.

elb-acm-certificate-required

Comme il peut y avoir des données sensibles et pour protéger les données en transit, assurez-vous que le chiffrement est activé pour votre Elastic Load Balancing. Utilisez AWS Certificate Manager pour gérer, approvisionner et déployer des TLS certificats publics et SSL privés avec des AWS services et des ressources internes.
SEC-9 Comment protéger vos données en transit ? Protégez vos données en transit en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de perte.

alb-http-drop-invalid-activé par en-tête

Assurez-vous que vos Elastic Load Balancers (ELB) sont configurés pour supprimer les en-têtes HTTP. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
SEC-9 Comment protéger vos données en transit ? Protégez vos données en transit en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de perte.

alb-http-to-https-vérification de redirection

Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les demandes non HTTP chiffrées vers. HTTPS Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
SEC-9 Comment protéger vos données en transit ? Protégez vos données en transit en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de perte.

api-gw-ssl-enabled

Assurez-vous que REST API les étapes Amazon API Gateway sont configurées avec SSL des certificats afin de permettre aux systèmes principaux d'authentifier que les demandes proviennent de API Gateway.
SEC-9 Comment protéger vos données en transit ? Protégez vos données en transit en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de perte.

elasticsearch-node-to-node-vérification du chiffrement

Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N permet le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (AmazonVPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
SEC-9 Comment protéger vos données en transit ? Protégez vos données en transit en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de perte.

opensearch-node-to-node-vérification du chiffrement

Assurez-vous que node-to-node le chiffrement pour Amazon OpenSearch Service est activé. ode-to-node Le chiffrement N permet le chiffrement TLS 1.2 pour toutes les communications au sein d'Amazon Virtual Private Cloud (AmazonVPC). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
SEC-9 Comment protéger vos données en transit ? Protégez vos données en transit en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de perte.

opensearch-https-required

Étant donné que des données sensibles peuvent exister et pour protéger les données en transit, assurez-vous HTTPS que les connexions à vos domaines Amazon OpenSearch Service sont activées.
SEC-9 Comment protéger vos données en transit ? Protégez vos données en transit en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de perte.

redshift-require-tls-ssl

Assurez-vous que vos clusters Amazon Redshift nécessitent un SSL chiffrement TLS pour se connecter aux SQL clients. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
SEC-9 Comment protéger vos données en transit ? Protégez vos données en transit en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de perte.

s3- bucket-ssl-requests-only

Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) nécessitent des demandes d'utilisation du protocole Secure Socket Layer (). SSL Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
SEC-9 Comment protéger vos données en transit ? Protégez vos données en transit en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de perte.

elb-tls-https-listeners-uniquement

Assurez-vous que vos Elastic Load Balancers (ELBs) sont configurés avec des écouteurs SSL ou des HTTPS écouteurs. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données.
SEC-9 Comment protéger vos données en transit ? Protégez vos données en transit en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de perte.

vpc-flow-logs-enabled

Les journaux de VPC flux fournissent des enregistrements détaillés contenant des informations sur le trafic IP à destination et en provenance des interfaces réseau de votre Amazon Virtual Private Cloud (AmazonVPC). Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole.
SEC-9 Comment protéger vos données en transit ? Protégez vos données en transit en mettant en place plusieurs contrôles, afin de réduire le risque d'accès non autorisé ou de perte.

guardduty-enabled-centralized

Amazon GuardDuty peut vous aider à surveiller et à détecter les événements potentiels liés à la cybersécurité en utilisant des flux de renseignements sur les menaces. Il s'agit notamment de listes de programmes malveillants IPs et d'apprentissage automatique pour identifier les activités inattendues, non autorisées et malveillantes au sein de votre environnement AWS cloud.

Modèle

Le modèle est disponible sur GitHub : Operational Best Practices for AWS Well-Architected Security Pillar.