Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autres contrôles Security Hub dans Accelerate

Les commandes de compensation suivantes sont disponibles dans Accelerate.

Lambda.3 - Les fonctions Lambda doivent se trouver dans un VPC

Ressources:

Les AWS Lambda fonctions déployées par AMS ne communiquent pas avec les ressources de vos comptes. Par conséquent, ils ne nécessitent pas d'interfaces réseau élastiques (ENIs) dédiées ni de placement en VPC. Le déploiement de ces fonctions en dehors d'un VPC réduit les coûts et améliore la vitesse de déploiement. Cette approche ne pose aucun problème de sécurité pour les communications intra-ressources. Étant donné que ces fonctions Lambda fonctionnent indépendamment et n'accèdent pas aux ressources basées sur le VPC, le déploiement de VPC ajoute une complexité et des dépenses inutiles sans apporter d'avantages supplémentaires en termes de sécurité.

S3.17 - Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys

Ressources:

Les compartiments Amazon Simple Storage Service utilisés par le système AMS Alarm Manager utilisent des clés de chiffrement gérées par Amazon (SSE-S3) au lieu de clés KMS gérées par le client (SSE-KMS). La mise en œuvre de clés gérées par le client nécessite que vous accordiez à AMS des autorisations explicites pour utiliser vos clés KMS par le biais de politiques clés. Cela introduit une complexité opérationnelle et des risques supplémentaires. L'utilisation de ce contrôle fournit un cryptage puissant au repos tout en évitant des coûts supplémentaires et une complexité opérationnelle pour vous.

Si vous modifiez les politiques clés, si vous faites pivoter les clés de manière incorrecte ou si vous supprimez ou désactivez accidentellement vos clés, la surveillance AMS échoue immédiatement pour vous. Cette dépendance à l'égard de la disponibilité des clés gérée par le client compromet l'infrastructure critique de surveillance et d'alerte d'AMS. Cela pourrait potentiellement perturber les capacités de surveillance en temps réel, la diffusion des alertes, la réponse aux incidents et la visibilité de l'état des services. Les clés de chiffrement gérées par Amazon chiffrent automatiquement les données au repos sans que vous ayez à gérer les politiques relatives aux clés, les calendriers de rotation ou les autorisations d'accès. Cette mise en œuvre répond aux exigences de chiffrement tout en préservant la rentabilité et la simplicité opérationnelle de l'infrastructure AMS gérée.

Ressources:

Le bucket de journalisation des AWS CloudTrail audits ne peut pas utiliser AWS KMS le chiffrement en raison des limites AWS du service. Le chiffrement par clé KMS ne doit pas être activé dans les compartiments S3 qui servent de destinations de journalisation des accès au serveur. Pour plus d'informations, consultez les sections Configuration du chiffrement par défaut et Résolution des problèmes de journalisation des accès au serveur dans le guide de l'utilisateur d'Amazon Simple Storage Service. L'activation du AWS KMS chiffrement sur les compartiments de destination de journalisation peut entraîner des échecs de journalisation et créer des problèmes opérationnels. Ce compartiment utilise plutôt le chiffrement géré par Amazon S3 (SSE-S3). Cela permet un chiffrement au repos tout en maintenant la compatibilité avec la fonctionnalité de journalisation des accès au serveur S3.

KMS.2 - Les principaux IAM ne devraient pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS

Ressources:

La politique intégrée contient « Resource » : ["*"] dans une politique de clé KMS, qui est une politique basée sur les ressources attachée à une clé KMS spécifique (ams_ssm_inventory_bucket_kms_key). Les politiques clés sont intrinsèquement limitées à la clé individuelle, et l'utilisation de * dans l'élément Ressource est une AWS pratique courante puisque la portée de la politique est déjà limitée par la clé elle-même. Pour plus d'informations, consultez les sections Création d'une politique clé et Politique clé par défaut dans le Guide du AWS KMS keys développeur. Cette configuration ne présente aucun risque de sécurité car l'accès est limité à une seule clé KMS, et non à toutes les clés du compte.

S3.9 - La journalisation des accès au serveur doit être activée dans les compartiments S3 à usage général

Ressources:

Ces compartiments S3 sont des compartiments de destination de journalisation des accès pour les compartiments AWS Config Recorder. S3 recommande de ne pas configurer la journalisation des accès sur ces compartiments, car cela générerait des boucles infinies de journalisation, ce qui augmenterait les coûts inutilement. AWS Security Hub recommande plutôt que les ressources dans ce scénario soient supprimées.

Correction:

Vous devez supprimer ce résultat pour les compartiments concernés, car les résultats ne sont pas utiles. Si vous ne souhaitez pas supprimer les résultats, vous pouvez éventuellement configurer la journalisation automatique sur le compartiment. L'auto-journalisation comporte le risque d'être supprimée si AMS met à jour le bucket.

EC2.6 - La journalisation des flux VPC doit être activée dans tous VPCs

Ressources:

Par défaut, AMS n'active pas les journaux de flux VPC pour le VPC par défaut.

Correction:

Vous pouvez corriger vous-même le contrôle en ajoutant la clé ou la valeur du ams:managed=true tag, en effaçant l'état de la règle de configuration et en relançant l'évaluation de la règle. Le composant d'auto-remédiation d'AMS active les journaux de flux VPC sur le vPC.