Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles Security Hub pour Auto Scaling
Ces contrôles Security Hub évaluent le service et les ressources Amazon EC2 Auto Scaling.
Il se peut que ces commandes ne soient pas disponibles dans tous les cas Régions AWS. Pour plus d'informations, consultezDisponibilité des contrôles par région.
[AutoScaling.1] Les groupes Auto Scaling associés à un équilibreur de charge doivent utiliser des contrôles ELB de santé
Exigences connexes : PCI DSS v3.2.1/2.2, .800-53.r5 CP-2 (2) NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-2 NIST
Catégorie : Identifier - Inventaire
Gravité : Faible
Type de ressource : AWS::AutoScaling::AutoScalingGroup
AWS Config règle : autoscaling-group-elb-healthcheck-required
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un groupe Amazon EC2 Auto Scaling associé à un équilibreur de charge utilise les tests de santé d'Elastic Load Balancing (ELB). Le contrôle échoue si le groupe Auto Scaling n'utilise pas de tests ELB de santé.
ELBles bilans de santé permettent de s'assurer qu'un groupe Auto Scaling peut déterminer l'état de santé d'une instance sur la base de tests supplémentaires fournis par l'équilibreur de charge. L'utilisation des contrôles de santé d'Elastic Load Balancing permet également de garantir la disponibilité des applications qui utilisent des groupes EC2 Auto Scaling.
Correction
Pour ajouter des tests de santé Elastic Load Balancing, consultez la section Ajouter des contrôles de santé Elastic Load Balancing dans le guide de l'utilisateur Amazon EC2 Auto Scaling.
[AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité
Exigences connexes : NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)
Catégorie : Restauration > Résilience > Haute disponibilité
Gravité : Moyenne
Type de ressource : AWS::AutoScaling::AutoScalingGroup
AWS Config règle : autoscaling-multiple-az
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
|
|
Nombre minimum de zones de disponibilité |
Enum |
|
|
Ce contrôle vérifie si un groupe Amazon EC2 Auto Scaling couvre au moins le nombre spécifié de zones de disponibilité (AZs). Le contrôle échoue si un groupe Auto Scaling ne couvre pas au moins le nombre spécifié deAZs. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour le nombre minimum deAZs, Security Hub utilise une valeur par défaut de deuxAZs.
Un groupe Auto Scaling qui ne couvre pas plusieurs zones ne AZs peut pas lancer d'instances dans une autre zone de zone pour compenser l'indisponibilité de la seule zone de zone configurée. Cependant, un groupe Auto Scaling avec une seule zone de disponibilité peut être préférable dans certains cas d'utilisation, tels que les tâches par lots ou lorsque les coûts de transfert inter-AZ doivent être réduits au minimum. Dans ce cas, vous pouvez désactiver ce contrôle ou supprimer ses résultats.
Correction
Pour ajouter AZs à un groupe Auto Scaling existant, consultez la section Ajouter et supprimer des zones de disponibilité dans le guide de l'utilisateur d'Amazon EC2 Auto Scaling.
[AutoScaling.3] Les configurations de lancement du groupe Auto Scaling doivent configurer les EC2 instances de manière à ce qu'elles nécessitent la version 2 du service de métadonnées d'instance (IMDSv2)
Exigences connexes : NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 CA-9 (1) NIST.800-53.r5 AC-6, NIST .800-53.r5 CM-2
Catégorie : Protéger - Configuration réseau sécurisée
Gravité : Élevée
Type de ressource : AWS::AutoScaling::LaunchConfiguration
AWS Config règle : autoscaling-launchconfig-requires-imdsv2
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie s'il IMDSv2 est activé sur toutes les instances lancées par les groupes Amazon EC2 Auto Scaling. Le contrôle échoue si la version du service de métadonnées d'instance (IMDS) n'est pas incluse dans la configuration de lancement ou est configurée en tant token optional que paramètre qui autorise l'un IMDSv1 ou l'autreIMDSv2.
IMDSfournit des données sur votre instance que vous pouvez utiliser pour configurer ou gérer l'instance en cours d'exécution.
La version 2 IMDS ajoute de nouvelles protections qui n'étaient pas disponibles dans IMDSv1 afin de mieux protéger vos EC2 instances.
Correction
Un groupe Auto Scaling est associé à une configuration de lancement à la fois. Vous ne pouvez pas modifier une configuration de lancement après l'avoir créée. Pour modifier la configuration de lancement d'un groupe Auto Scaling, utilisez une configuration de lancement existante comme base pour une nouvelle configuration de lancement avec IMDSv2 activé. Pour plus d'informations, consultez Configurer les options de métadonnées d'instance pour les nouvelles instances dans le guide de EC2 l'utilisateur Amazon.
[AutoScaling.4] La configuration de lancement du groupe Auto Scaling ne doit pas comporter de limite de sauts de réponse aux métadonnées supérieure à 1
Important
Security Hub a retiré ce contrôle en avril 2024. Pour de plus amples informations, veuillez consulter Journal des modifications pour les contrôles du Security Hub.
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST
Catégorie : Protéger - Configuration réseau sécurisée
Gravité : Élevée
Type de ressource : AWS::AutoScaling::LaunchConfiguration
AWS Config règle : autoscaling-launch-config-hop-limit
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie le nombre de sauts réseau qu'un jeton de métadonnées peut effectuer. Le contrôle échoue si la limite de sauts de réponse des métadonnées est supérieure à1.
Le service de métadonnées d'instance (IMDS) fournit des informations de métadonnées sur une EC2 instance Amazon et est utile pour la configuration des applications. Le fait de limiter la HTTP PUT réponse du service de métadonnées à l'EC2instance uniquement protège celui-ci contre toute utilisation non autorisée. IMDS
Le champ Time To Live (TTL) du paquet IP est réduit d'une unité à chaque saut. Cette réduction peut être utilisée pour garantir que le paquet ne voyage pas à l'extérieurEC2. IMDSv2protège les EC2 instances qui peuvent avoir été mal configurées en tant que routeurs ouverts, pare-feux de couche 3VPNs, tunnels ou NAT appareils, empêchant ainsi les utilisateurs non autorisés de récupérer des métadonnées. AvecIMDSv2, la PUT réponse contenant le jeton secret ne peut pas voyager en dehors de l'instance car la limite de sauts de réponse aux métadonnées par défaut est définie sur1. Toutefois, si cette valeur est supérieure à1, le jeton peut quitter l'EC2instance.
Correction
Pour modifier la limite de sauts de réponse aux métadonnées pour une configuration de lancement existante, consultez la section Modifier les options de métadonnées d'instance pour les instances existantes dans le guide de EC2 l'utilisateur Amazon.
[Autoscaling.5] Les EC2 instances Amazon lancées à l'aide des configurations de lancement de groupe Auto Scaling ne doivent pas avoir d'adresses IP publiques
Exigences connexes : NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21),, NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
Catégorie : Protéger > Configuration réseau sécurisée > Ressources non accessibles au public
Gravité : Élevée
Type de ressource : AWS::AutoScaling::LaunchConfiguration
AWS Config règle : autoscaling-launch-config-public-ip-disabled
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si la configuration de lancement associée à un groupe Auto Scaling attribue une adresse IP publique aux instances du groupe. Le contrôle échoue si la configuration de lancement associée attribue une adresse IP publique.
EC2Les instances Amazon dans une configuration de lancement de groupe Auto Scaling ne doivent pas être associées à une adresse IP publique, sauf dans des cas limités. Les EC2 instances Amazon ne devraient être accessibles que derrière un équilibreur de charge au lieu d'être directement exposées à Internet.
Correction
Un groupe Auto Scaling est associé à une configuration de lancement à la fois. Vous ne pouvez pas modifier une configuration de lancement après l'avoir créée. Pour modifier la configuration du lancement d'un groupe Auto Scaling, utilisez une configuration du lancement existante comme base de la nouvelle configuration du lancement. Mettez ensuite à jour le groupe Auto Scaling de manière à utiliser la nouvelle configuration du lancement. Pour step-by-step obtenir des instructions, consultez Modifier la configuration de lancement d'un groupe Auto Scaling dans le guide de l'utilisateur Amazon EC2 Auto Scaling. Lors de la création de la nouvelle configuration de lancement, sous Configuration supplémentaire, pour Détails avancés, type d'adresse IP, choisissez Ne pas attribuer d'adresse IP publique à aucune instance.
Après avoir modifié la configuration de lancement, Auto Scaling lance de nouvelles instances avec les nouvelles options de configuration. Les instances existantes ne sont pas affectées. Pour mettre à jour une instance existante, nous vous recommandons d'actualiser votre instance ou d'autoriser le dimensionnement automatique afin de remplacer progressivement les anciennes instances par des instances plus récentes en fonction de vos politiques de résiliation. Pour plus d'informations sur la mise à jour des instances Auto Scaling, consultez Update Auto Scaling instances dans le manuel Amazon EC2 Auto Scaling User Guide.
[AutoScaling.6] Les groupes Auto Scaling doivent utiliser plusieurs types d'instances dans plusieurs zones de disponibilité
Exigences connexes : NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)
Catégorie : Restauration > Résilience > Haute disponibilité
Gravité : Moyenne
Type de ressource : AWS::AutoScaling::AutoScalingGroup
AWS Config règle : autoscaling-multiple-instance-types
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un groupe Amazon EC2 Auto Scaling utilise plusieurs types d'instances. Le contrôle échoue si le groupe Auto Scaling n'a qu'un seul type d'instance défini.
Vous pouvez améliorer la disponibilité en déployant votre application entre plusieurs types d'instances s'exécutant dans plusieurs zones de disponibilité. Security Hub recommande d'utiliser plusieurs types d'instances afin que le groupe Auto Scaling puisse lancer un autre type d'instance si la capacité d'instance est insuffisante dans les zones de disponibilité que vous avez choisies.
Correction
Pour créer un groupe Auto Scaling avec plusieurs types d'instances, consultez la section Groupes Auto Scaling avec plusieurs types d'instances et options d'achat dans le guide de l'utilisateur d'Amazon EC2 Auto Scaling.
[AutoScaling.9] Les groupes Amazon EC2 Auto Scaling doivent utiliser les modèles de EC2 lancement Amazon
Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST
Catégorie : Identifier > Configuration des ressources
Gravité : Moyenne
Type de ressource : AWS::AutoScaling::AutoScalingGroup
AWS Config règle : autoscaling-launch-template
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un groupe Amazon EC2 Auto Scaling est créé à partir d'un modèle de EC2 lancement. Ce contrôle échoue si aucun groupe Amazon EC2 Auto Scaling n'est créé avec un modèle de lancement ou si aucun modèle de lancement n'est spécifié dans une politique d'instances mixtes.
Un groupe EC2 Auto Scaling peut être créé à partir d'un modèle de EC2 lancement ou d'une configuration de lancement. Cependant, l'utilisation d'un modèle de lancement pour créer un groupe Auto Scaling garantit que vous avez accès aux dernières fonctionnalités et améliorations.
Correction
Pour créer un groupe Auto Scaling avec un modèle de EC2 lancement, consultez Create an Auto Scaling group using a launch template dans le manuel Amazon EC2 Auto Scaling User Guide. Pour plus d'informations sur le remplacement d'une configuration de lancement par un modèle de lancement, consultez la section Remplacer une configuration de lancement par un modèle de lancement dans le guide de EC2 l'utilisateur Amazon.
[AutoScaling.10] Les groupes EC2 Auto Scaling doivent être balisés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::AutoScaling::AutoScalingGroup
AWS Config règle : tagged-autoscaling-autoscalinggroup (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags qui répondent AWS exigences | Aucune valeur par défaut |
Ce contrôle vérifie si un groupe Amazon EC2 Auto Scaling possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le groupe Auto Scaling ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le groupe Auto Scaling n'est associé à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Un tag est un label que vous attribuez à un AWS ressource, et elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi ABAC sert AWS? dans le guide de IAM l'utilisateur.
Note
N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, y compris AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de votre AWS ressources dans le Références générales AWS.
Correction
Pour ajouter des balises à un groupe Auto Scaling, consultez la section Groupes et instances Tag Auto Scaling dans le guide de l'utilisateur d'Amazon EC2 Auto Scaling.
