View a markdown version of this page

CISAWSBase de référence en matière de Security Hub (CSPM) - AWSSecurity Hub

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

CISAWSBase de référence en matière de Security Hub (CSPM)

Le test de AWS base du Center for Internet Security (CIS) sert d'ensemble de meilleures pratiques de configuration de sécurité pourAWS. Ces meilleures pratiques reconnues par l'industrie vous fournissent des procédures de mise en œuvre et d'évaluation claires, étape par étape. Qu'il s'agisse de systèmes d'exploitation, de services cloud ou d'appareils réseau, les contrôles de ce benchmark vous aident à protéger les systèmes spécifiques utilisés par votre entreprise.

AWSSecurity Hub CSPM prend en charge les versions 5.0.0, 3.0.0, 1.4.0 et 1.2.0 de CIS AWS Foundations Benchmark. Cette page répertorie les contrôles de sécurité pris en charge par chaque version. Il fournit également une comparaison des versions.

CISAWSFoundations Benchmark version 5.0.0

Security Hub CSPM prend en charge la version 5.0.0 (v5.0.0) du CIS Foundations Benchmark. AWS Security Hub CSPM a satisfait aux exigences de la certification logicielle de sécurité CIS et a obtenu la certification logicielle de sécurité CIS pour les benchmarks CIS suivants :

  • Critère de référence du CIS pour AWS les fondations de la CEI, v5.0.0, niveau 1

  • Critère de référence du CIS pour AWS les fondations de la CEI, v5.0.0, niveau 2

Contrôles applicables au CISAWSFoundations Benchmark version 5.0.0

[Account.1] Les coordonnées de sécurité doivent être fournies pourCompte AWS

[CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture

[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé

[CloudTrail.4] la validation du fichier CloudTrail journal doit être activée

[CloudTrail.7] Assurez-vous que la journalisation des accès au compartiment S3 est activée sur le compartiment CloudTrail S3

[Config.1]AWS Configdoit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources

[EC2.2] Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant

[EC2.6] La journalisation des flux VPC doit être activée dans tous les VPC

[EC2.7] Le chiffrement par défaut d'EBS doit être activé

[EC2.8] Les instances EC2 doivent utiliser le service de métadonnées d'instance version 2 (IMDSv2)

[EC2.21] Les ACL réseau ne doivent pas autoriser l'entrée à partir de la version 0.0.0. 0/0 vers le port 22 ou le port 3389

[EC2.53] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis la version 0.0.0. 0/0 vers les ports d'administration de serveurs distants

[EC2.54] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis : :/0 vers les ports d'administration des serveurs distants

[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide deAWS KMS

[EFS.8] Les systèmes de fichiers EFS doivent être chiffrés au repos

[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM

[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins

[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister

[IAM.5] La MFA doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console

[IAM.6] Le MFA matériel doit être activé pour l'utilisateur root

[IAM.9] La MFA doit être activée pour l'utilisateur root

[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus

[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe

[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avecAWS Support

[IAM.22] Les informations d'identification utilisateur IAM non utilisées pendant 45 jours doivent être supprimées

[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés

[IAM.27] La AWSCloudShellFullAccess politique ne doit pas être attachée aux identités IAM

[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé

[KMS.4]AWS KMSla rotation des touches doit être activée

[RDS.2] Les instances de base de données RDS doivent interdire l'accès public, tel que déterminé par la configuration PubliclyAccessible

[RDS.3] Le chiffrement au repos doit être activé sur les instances de base de données RDS

[RDS.5] Les instances de base de données RDS doivent être configurées avec plusieurs zones de disponibilité

[RDS.13] Les mises à niveau automatiques des versions mineures de RDS doivent être activées

[RDS.15] Les clusters de base de données RDS doivent être configurés pour plusieurs zones de disponibilité

[S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général doivent être activés

[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation du protocole SSL

[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public

[S3.20] La suppression MFA doit être activée dans les compartiments S3 à usage général

[S3.22] Les compartiments à usage général S3 doivent enregistrer les événements d'écriture au niveau de l'objet

[S3.23] Les compartiments à usage général S3 doivent enregistrer les événements de lecture au niveau de l'objet

CISAWSFoundations Benchmark version 3.0.0

Security Hub CSPM prend en charge la version 3.0.0 (v3.0.0) du CIS Foundations Benchmark. AWS Security Hub CSPM a satisfait aux exigences de la certification logicielle de sécurité CIS et a obtenu la certification logicielle de sécurité CIS pour les benchmarks CIS suivants :

  • Critère de référence du CIS pour AWS les fondations de la CEI, v3.0.0, niveau 1

  • Critère de référence du CIS pour AWS les fondations de la CEI, v3.0.0, niveau 2

Contrôles applicables au CISAWSFoundations Benchmark version 3.0.0

[Account.1] Les coordonnées de sécurité doivent être fournies pourCompte AWS

[CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture

[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé

[CloudTrail.4] la validation du fichier CloudTrail journal doit être activée

[CloudTrail.7] Assurez-vous que la journalisation des accès au compartiment S3 est activée sur le compartiment CloudTrail S3

[Config.1]AWS Configdoit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources

[EC2.2] Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant

[EC2.6] La journalisation des flux VPC doit être activée dans tous les VPC

[EC2.7] Le chiffrement par défaut d'EBS doit être activé

[EC2.8] Les instances EC2 doivent utiliser le service de métadonnées d'instance version 2 (IMDSv2)

[EC2.21] Les ACL réseau ne doivent pas autoriser l'entrée à partir de la version 0.0.0. 0/0 vers le port 22 ou le port 3389

[EC2.53] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis la version 0.0.0. 0/0 vers les ports d'administration de serveurs distants

[EC2.54] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis : :/0 vers les ports d'administration des serveurs distants

[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide deAWS KMS

[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM

[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins

[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister

[IAM.5] La MFA doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console

[IAM.6] Le MFA matériel doit être activé pour l'utilisateur root

[IAM.9] La MFA doit être activée pour l'utilisateur root

[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus

[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe

[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avecAWS Support

[IAM.22] Les informations d'identification utilisateur IAM non utilisées pendant 45 jours doivent être supprimées

[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés

[IAM.27] La AWSCloudShellFullAccess politique ne doit pas être attachée aux identités IAM

[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé

[KMS.4]AWS KMSla rotation des touches doit être activée

[RDS.2] Les instances de base de données RDS doivent interdire l'accès public, tel que déterminé par la configuration PubliclyAccessible

[RDS.3] Le chiffrement au repos doit être activé sur les instances de base de données RDS

[RDS.13] Les mises à niveau automatiques des versions mineures de RDS doivent être activées

[S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général doivent être activés

[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation du protocole SSL

[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public

[S3.20] La suppression MFA doit être activée dans les compartiments S3 à usage général

[S3.22] Les compartiments à usage général S3 doivent enregistrer les événements d'écriture au niveau de l'objet

[S3.23] Les compartiments à usage général S3 doivent enregistrer les événements de lecture au niveau de l'objet

CISAWSFoundations Benchmark version 1.4.0

Security Hub CSPM prend en charge la version 1.4.0 (v1.4.0) du CIS Foundations Benchmark. AWS

Contrôles applicables au CISAWSFoundations Benchmark version 1.4.0

[CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture

[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé

[CloudTrail.4] la validation du fichier CloudTrail journal doit être activée

[CloudTrail.5] les CloudTrail sentiers doivent être intégrés à Amazon CloudWatch Logs

[CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public

[CloudTrail.7] Assurez-vous que la journalisation des accès au compartiment S3 est activée sur le compartiment CloudTrail S3

[CloudWatch.1] Un filtre logarithmique et une alarme doivent exister pour l'utilisation de l'utilisateur « root »

[CloudWatch.4] Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour les modifications de politique IAM

[CloudWatch.5] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications CloudTrail de configuration

[CloudWatch.6] Assurez-vous qu'un filtre logarithmique et une alarme existent pourAWS Management Consoleéchecs d'authentification

[CloudWatch.7] Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour désactiver ou planifier la suppression des clés gérées par le client

[CloudWatch.8] Assurez-vous qu'un filtre métrique de journal et une alarme existent pour les modifications de politique du compartiment S3

[CloudWatch.9] Assurez-vous qu'un filtre logarithmique et une alarme existent pourAWS Configmodifications de configuration

[CloudWatch.10] Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour les modifications du groupe de sécurité

[CloudWatch.11] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications apportées aux listes de contrôle d'accès réseau (NACL)

[CloudWatch.12] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications apportées aux passerelles réseau

[CloudWatch.13] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de la table de routage

[CloudWatch.14] Assurez-vous qu'il existe un journal, un filtre métrique et une alarme pour les modifications du VPC

[Config.1]AWS Configdoit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources

[EC2.2] Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant

[EC2.6] La journalisation des flux VPC doit être activée dans tous les VPC

[EC2.7] Le chiffrement par défaut d'EBS doit être activé

[EC2.21] Les ACL réseau ne doivent pas autoriser l'entrée à partir de la version 0.0.0. 0/0 vers le port 22 ou le port 3389

[IAM.1] Les politiques IAM ne doivent pas autoriser des privilèges administratifs « * » complets

[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins

[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister

[IAM.5] La MFA doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console

[IAM.6] Le MFA matériel doit être activé pour l'utilisateur root

[IAM.9] La MFA doit être activée pour l'utilisateur root

[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus

[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe

[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avecAWS Support

[IAM.22] Les informations d'identification utilisateur IAM non utilisées pendant 45 jours doivent être supprimées

[KMS.4]AWS KMSla rotation des touches doit être activée

[RDS.3] Le chiffrement au repos doit être activé sur les instances de base de données RDS

[S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général doivent être activés

[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation du protocole SSL

[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public

[S3.20] La suppression MFA doit être activée dans les compartiments S3 à usage général

CISAWSFoundations Benchmark version 1.2.0

Security Hub CSPM prend en charge la version 1.2.0 (v1.2.0) du CIS Foundations Benchmark. AWS Security Hub CSPM a satisfait aux exigences de la certification logicielle de sécurité CIS et a obtenu la certification logicielle de sécurité CIS pour les benchmarks CIS suivants :

  • Benchmark CIS pour CIS AWS Foundations Benchmark, v1.2.0, niveau 1

  • Benchmark CIS pour CIS AWS Foundations Benchmark, v1.2.0, niveau 2

Contrôles applicables au CISAWSFoundations Benchmark version 1.2.0

[CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture

[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé

[CloudTrail.4] la validation du fichier CloudTrail journal doit être activée

[CloudTrail.5] les CloudTrail sentiers doivent être intégrés à Amazon CloudWatch Logs

[CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public

[CloudTrail.7] Assurez-vous que la journalisation des accès au compartiment S3 est activée sur le compartiment CloudTrail S3

[CloudWatch.1] Un filtre logarithmique et une alarme doivent exister pour l'utilisation de l'utilisateur « root »

[CloudWatch.2] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les appels d'API non autorisés

[CloudWatch.3] Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour la connexion à la console de gestion sans MFA

[CloudWatch.4] Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour les modifications de politique IAM

[CloudWatch.5] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications CloudTrail de configuration

[CloudWatch.6] Assurez-vous qu'un filtre logarithmique et une alarme existent pourAWS Management Consoleéchecs d'authentification

[CloudWatch.7] Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour désactiver ou planifier la suppression des clés gérées par le client

[CloudWatch.8] Assurez-vous qu'un filtre métrique de journal et une alarme existent pour les modifications de politique du compartiment S3

[CloudWatch.9] Assurez-vous qu'un filtre logarithmique et une alarme existent pourAWS Configmodifications de configuration

[CloudWatch.10] Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour les modifications du groupe de sécurité

[CloudWatch.11] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications apportées aux listes de contrôle d'accès réseau (NACL)

[CloudWatch.12] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications apportées aux passerelles réseau

[CloudWatch.13] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de la table de routage

[CloudWatch.14] Assurez-vous qu'il existe un journal, un filtre métrique et une alarme pour les modifications du VPC

[Config.1]AWS Configdoit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources

[EC2.2] Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant

[EC2.6] La journalisation des flux VPC doit être activée dans tous les VPC

[EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis la version 0.0.0. 0/0 ou : :/0 vers le port 22

[EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis la version 0.0.0. 0/0 ou : :/0 vers le port 3389

[IAM.1] Les politiques IAM ne doivent pas autoriser des privilèges administratifs « * » complets

[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM

[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins

[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister

[IAM.5] La MFA doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console

[IAM.6] Le MFA matériel doit être activé pour l'utilisateur root

[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées

[IAM.9] La MFA doit être activée pour l'utilisateur root

[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule

[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule

[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole

[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre

[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus

[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe

[IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins

[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avecAWS Support

[KMS.4]AWS KMSla rotation des touches doit être activée

Comparaison des versions pour CISAWSBenchmark des fondations

Cette section résume les différences entre les versions spécifiques du test de référence du Center for Internet Security (CIS) AWS Foundations : v5.0.0, v3.0.0, v1.4.0 et v1.2.0. AWSSecurity Hub CSPM prend en charge chacune de ces versions du CIS AWS Foundations Benchmark. Toutefois, nous vous recommandons d'utiliser la version 5.0.0 pour rester au fait des meilleures pratiques en matière de sécurité. Vous pouvez activer plusieurs versions des normes de référence de CIS AWS Foundations en même temps. Pour plus d'informations sur les normes habilitantes, voirMise en place d'une norme de sécurité. Si vous souhaitez passer à la version 5.0.0, activez-la avant de désactiver une ancienne version. Cela permet d'éviter les failles dans vos contrôles de sécurité. Si vous utilisez l'intégration CSPM de Security Hub AWS Organizations et que vous souhaitez activer par lots la version 5.0.0 sur plusieurs comptes, nous vous recommandons d'utiliser une configuration centralisée.

Mise en correspondance des contrôles avec les exigences du CIS dans chaque version

Découvrez quels contrôles sont pris en charge par chaque version du CIS AWS Foundations Benchmark.

ID et titre du contrôle Exigence CIS v5.0.0 Exigence CIS v3.0.0 Exigence CIS v1.4.0 Exigence du CIS v1.2.0

[Account.1] Les coordonnées de sécurité doivent être fournies pourCompte AWS

1.2

1.2

1.2

1,18

[CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture

3.1

3.1

3.1

2.1

[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé

3,5

3,5

3.7

2.7

[CloudTrail.4] la validation du fichier CloudTrail journal doit être activée

3.2

3.2

3.2

2.2

[CloudTrail.5] les CloudTrail sentiers doivent être intégrés à Amazon CloudWatch Logs

Non pris en charge : le CIS a supprimé cette exigence

Non pris en charge : le CIS a supprimé cette exigence

3.4

2,4

[CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public

Non pris en charge : le CIS a supprimé cette exigence

Non pris en charge : le CIS a supprimé cette exigence

3.3

2.3

[CloudTrail.7] Assurez-vous que la journalisation des accès au compartiment S3 est activée sur le compartiment CloudTrail S3

3.4

3.4

3.6

2.6

[CloudWatch.1] Un filtre logarithmique et une alarme doivent exister pour l'utilisation de l'utilisateur « root »

Non pris en charge — vérification manuelle

Non pris en charge — vérification manuelle

4.3

3.3

[CloudWatch.2] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les appels d'API non autorisés

Non pris en charge — vérification manuelle

Non pris en charge — vérification manuelle

Non pris en charge — vérification manuelle

3.1

[CloudWatch.3] Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour la connexion à la console de gestion sans MFA

Non pris en charge — vérification manuelle

Non pris en charge — vérification manuelle

Non pris en charge — vérification manuelle

3.2

[CloudWatch.4] Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour les modifications de politique IAM

Non pris en charge — vérification manuelle

Non pris en charge — vérification manuelle

4,4

3.4

[CloudWatch.5] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications CloudTrail de configuration

Non pris en charge — vérification manuelle

Non pris en charge — vérification manuelle

4,5

3,5

[CloudWatch.6] Assurez-vous qu'un filtre logarithmique et une alarme existent pourAWS Management Consoleéchecs d'authentification

Non pris en charge — vérification manuelle

Non pris en charge — vérification manuelle

4.6

3.6

[CloudWatch.7] Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour désactiver ou planifier la suppression des clés gérées par le client

Non pris en charge — vérification manuelle

Non pris en charge — vérification manuelle

4,7

3.7

[CloudWatch.8] Assurez-vous qu'un filtre métrique de journal et une alarme existent pour les modifications de politique du compartiment S3

Non pris en charge — vérification manuelle

Non pris en charge — vérification manuelle

4.8

3.8

[CloudWatch.9] Assurez-vous qu'un filtre logarithmique et une alarme existent pourAWS Configmodifications de configuration

Non pris en charge — vérification manuelle

Non pris en charge — vérification manuelle

4,9

3.9

[CloudWatch.10] Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour les modifications du groupe de sécurité

Non pris en charge — vérification manuelle

Non pris en charge — vérification manuelle

4,10

3,10

[CloudWatch.11] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications apportées aux listes de contrôle d'accès réseau (NACL)

Non pris en charge — vérification manuelle

Non pris en charge — vérification manuelle

4,11

3,11

[CloudWatch.12] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications apportées aux passerelles réseau

Non pris en charge — vérification manuelle

Non pris en charge — vérification manuelle

4,12

3,12

[CloudWatch.13] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de la table de routage

Non pris en charge — vérification manuelle

Non pris en charge — vérification manuelle

4,13

3.13

[CloudWatch.14] Assurez-vous qu'il existe un journal, un filtre métrique et une alarme pour les modifications du VPC

Non pris en charge — vérification manuelle

Non pris en charge — vérification manuelle

4,14

3,14

[Config.1]AWS Configdoit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources

3.3

3.3

3,5

2,5

[EC2.2] Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant

5.5

5.4

5.3

4.3

[EC2.6] La journalisation des flux VPC doit être activée dans tous les VPC

3.7

3.7

3.9

2.9

[EC2.7] Le chiffrement par défaut d'EBS doit être activé

5.1.1

2.2.1

2.2.1

Non pris en charge

[EC2.8] Les instances EC2 doivent utiliser le service de métadonnées d'instance version 2 (IMDSv2)

5.7

5.6

Non pris en charge

Non pris en charge

[EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis la version 0.0.0. 0/0 ou : :/0 vers le port 22

Non pris en charge — remplacé par les exigences 5.3 et 5.4

Non pris en charge — remplacé par les exigences 5.2 et 5.3

Non pris en charge — remplacé par les exigences 5.2 et 5.3

4.1

[EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis la version 0.0.0. 0/0 ou : :/0 vers le port 3389

Non pris en charge — remplacé par les exigences 5.3 et 5.4

Non pris en charge — remplacé par les exigences 5.2 et 5.3

Non pris en charge — remplacé par les exigences 5.2 et 5.3

4.2

[EC2.21] Les ACL réseau ne doivent pas autoriser l'entrée à partir de la version 0.0.0. 0/0 vers le port 22 ou le port 3389

5.2

5.1

5.1

Non pris en charge

[EC2.53] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis la version 0.0.0. 0/0 vers les ports d'administration de serveurs distants

5.3

5.2

Non pris en charge

Non pris en charge

[EC2.54] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis : :/0 vers les ports d'administration des serveurs distants

5.4

5.3

Non pris en charge

Non pris en charge

[EFS.1] Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide deAWS KMS

2.3.1

2.4.1

Non pris en charge

Non pris en charge

[EFS.8] Les systèmes de fichiers EFS doivent être chiffrés au repos

2.3.1

Non pris en charge

Non pris en charge

Non pris en charge

[IAM.1] Les politiques IAM ne doivent pas autoriser des privilèges administratifs « * » complets

Non pris en charge

Non pris en charge

1.16

1,22

[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM

1.14

1.15

Non pris en charge

1.16

[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins

1.13

1.14

1.14

1.4

[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister

1.3

1.4

1.4

1.12

[IAM.5] La MFA doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console

1.9

1.10

1.10

1.2

[IAM.6] Le MFA matériel doit être activé pour l'utilisateur root

1.5

1.6

1.6

1.14

[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées

Non pris en charge — voir [IAM.22] Les informations d'identification utilisateur IAM non utilisées pendant 45 jours doivent être supprimées plutôt

Non pris en charge — voir [IAM.22] Les informations d'identification utilisateur IAM non utilisées pendant 45 jours doivent être supprimées plutôt

Non pris en charge — voir [IAM.22] Les informations d'identification utilisateur IAM non utilisées pendant 45 jours doivent être supprimées plutôt

1.3

[IAM.9] La MFA doit être activée pour l'utilisateur root

1.4

1.5

1.5

1.13

[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule

Non pris en charge : le CIS a supprimé cette exigence

Non pris en charge : le CIS a supprimé cette exigence

Non pris en charge : le CIS a supprimé cette exigence

1.5

[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule

Non pris en charge : le CIS a supprimé cette exigence

Non pris en charge : le CIS a supprimé cette exigence

Non pris en charge : le CIS a supprimé cette exigence

1.6

[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole

Non pris en charge : le CIS a supprimé cette exigence

Non pris en charge : le CIS a supprimé cette exigence

Non pris en charge : le CIS a supprimé cette exigence

1,7

[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre

Non pris en charge : le CIS a supprimé cette exigence

Non pris en charge : le CIS a supprimé cette exigence

Non pris en charge : le CIS a supprimé cette exigence

1.8

[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus

1,7

1.8

1.8

1.9

[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe

1.8

1.9

1.9

1.10

[IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins

Non pris en charge : le CIS a supprimé cette exigence

Non pris en charge : le CIS a supprimé cette exigence

Non pris en charge : le CIS a supprimé cette exigence

1.11

[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avecAWS Support

1.16

1,17

1,17

1.2

[IAM.20] Évitez d'utiliser l'utilisateur root

Non pris en charge : le CIS a supprimé cette exigence

Non pris en charge : le CIS a supprimé cette exigence

Non pris en charge : le CIS a supprimé cette exigence

1.1

[IAM.22] Les informations d'identification utilisateur IAM non utilisées pendant 45 jours doivent être supprimées

1.11

1.12

1.12

Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures

[IAM.26] SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés

1,18

1,19

Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures

Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures

[IAM.27] La AWSCloudShellFullAccess politique ne doit pas être attachée aux identités IAM

1,21

1,22

Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures

Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures

[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé

1,19

1,20

Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures

Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures

[KMS.4]AWS KMSla rotation des touches doit être activée

3.6

3.6

3.8

2,8

[Macie.1] Amazon Macie devrait être activé

Non pris en charge — vérification manuelle

Non pris en charge — vérification manuelle

Non pris en charge — vérification manuelle

Non pris en charge — vérification manuelle

[RDS.2] Les instances de base de données RDS doivent interdire l'accès public, tel que déterminé par la configuration PubliclyAccessible

2.2.3

2.3.3

Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures

Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures

[RDS.3] Le chiffrement au repos doit être activé sur les instances de base de données RDS

2.2.1

2.3.1

2.3.1

Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures

[RDS.5] Les instances de base de données RDS doivent être configurées avec plusieurs zones de disponibilité

2.2.4

Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures

Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures

Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures

[RDS.13] Les mises à niveau automatiques des versions mineures de RDS doivent être activées

2.2.2

2.3.2

Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures

Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures

[RDS.15] Les clusters de base de données RDS doivent être configurés pour plusieurs zones de disponibilité

2.2.4

Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures

Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures

Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures

[S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général doivent être activés

2.1.4

2.1.4

2.1.5

Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures

[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation du protocole SSL

2.1.1

2.1.1

2.1.2

Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures

[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public

2.1.4

2.1.4

2.1.5

Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures

[S3.20] La suppression MFA doit être activée dans les compartiments S3 à usage général

2.1.2

2.1.2

2.1.3

Non pris en charge — CIS a ajouté cette exigence dans les versions ultérieures

ARN pour CISAWSFondations et repères

Lorsque vous activez une ou plusieurs versions du CIS AWS Foundations Benchmark, vous commencez à recevoir les résultats au format ASFF (AWSSecurity Finding Format). Dans ASFF, chaque version utilise le nom de ressource Amazon (ARN) suivant :

Benchmark CIS AWS Foundations v5.0.0

arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/5.0.0

Base de référence CIS AWS Foundations v3.0.0

arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/3.0.0

Benchmark AWS des fondations du CIS v1.4.0

arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/1.4.0

Benchmark AWS des fondations du CIS v1.2.0

arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0

Vous pouvez utiliser le GetEnabledStandardsfonctionnement de l'API Security Hub CSPM pour trouver l'ARN d'une norme activée.

Les valeurs précédentes sont pourStandardsArn. Toutefois, StandardsSubscriptionArn fait référence à la ressource d'abonnement standard créée par Security Hub CSPM lorsque vous vous abonnez à une norme BatchEnableStandardsen appelant dans une région.

Note

Lorsque vous activez une version du CIS AWS Foundations Benchmark, Security Hub CSPM peut mettre jusqu'à 18 heures pour générer des résultats pour les contrôles qui utilisent la même règle AWS Config liée au service que les contrôles activés dans d'autres normes activées. Pour plus d'informations sur le calendrier de génération des résultats de contrôle, consultezPlanification de l'exécution des vérifications de sécurité.

Les champs de recherche diffèrent si vous activez les résultats de contrôle consolidés. Pour plus d'informations sur ces différences, consultezImpact de la consolidation sur les domaines et les valeurs d'ASFF. Pour les résultats du contrôle des échantillons, voirÉchantillons de résultats de contrôle.

Exigences du CIS qui ne sont pas prises en charge dans Security Hub CSPM

Comme indiqué dans le tableau précédent, Security Hub CSPM ne prend pas en charge toutes les exigences du CIS dans toutes les versions du CIS AWS Foundations Benchmark. La plupart des exigences non prises en charge ne peuvent être évaluées qu'en examinant manuellement l'état de vos AWS ressources.