Journal des modifications pour les contrôles du Security Hub - AWS Security Hub

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Journal des modifications pour les contrôles du Security Hub

Le journal des modifications suivant suit les modifications importantes apportées aux contrôles de AWS Security Hub sécurité existants, qui peuvent entraîner des modifications de l'état général d'un contrôle et de l'état de conformité de ses conclusions. Pour plus d'informations sur la manière dont Security Hub évalue l'état des contrôles, consultezÉvaluation de l'état de conformité et de l'état du contrôle dans Security Hub. Les modifications peuvent prendre quelques jours après leur entrée dans ce journal pour affecter toutes les Régions AWS entités dans lesquelles le contrôle est disponible.

Ce journal suit les changements survenus depuis avril 2023.

Sélectionnez un contrôle pour afficher plus de détails le concernant. Les modifications de titre sont indiquées sur la description détaillée de chaque contrôle pendant 90 jours.

Date de modification ID et titre du contrôle Description du changement
11 octobre 2024 ElastiCache commandes Les titres de contrôle ont été modifiés pour ElastiCache 3.3, ElastiCache .4, ElastiCache .5 et ElastiCache .7. Les titres ne mentionnent plus Redis OSS car les contrôles s'appliquent également ElastiCache à Valkey.
27 septembre 2024 [ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP non valides Le titre de contrôle modifié depuis Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP vers Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP non valides.
19 août 2024 Le titre passe à la DMS version 1.2 et aux commandes ElastiCache Titres de contrôle modifiés pour les DMS versions 1.2 et ElastiCache 1.1 à ElastiCache 1.7. Nous avons modifié ces titres pour refléter le changement de nom du service Amazon ElastiCache (RedisOSS).
15 août 2024 [Configuration 1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources Ce contrôle vérifie s'il AWS Config est activé, utilise le rôle lié au service et enregistre les ressources pour les contrôles activés. Security Hub a ajouté un paramètre de contrôle personnalisé nomméincludeConfigServiceLinkedRoleCheck. En définissant ce paramètre surfalse, vous pouvez choisir de ne pas vérifier si le rôle lié au service est AWS Config utilisé.
31 juillet 2024 [IoT.1] AWS IoT Device Defender les profils de sécurité doivent être balisés Le titre de contrôle modifié des profils de AWS IoT Core sécurité doit être étiqueté en tant que profil de AWS IoT Device Defender sécurité.
29 juillet 2024 [Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub n'est plus pris en charge en nodejs16.x tant que paramètre.
29 juillet 2024 [EKS.2] les EKS clusters doivent fonctionner sur une version de Kubernetes prise en charge Ce contrôle vérifie si un cluster Amazon Elastic Kubernetes Service (EKSAmazon) s'exécute sur une version de Kubernetes prise en charge. La plus ancienne version prise en charge est1.28.
25 juin 2024 [Configuration 1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources Ce contrôle vérifie s'il AWS Config est activé, utilise le rôle lié au service et enregistre les ressources pour les contrôles activés. Security Hub a mis à jour le titre du contrôle pour refléter ce que le contrôle évalue.
14 juin 2024 [RDS.34] Les clusters Aurora My SQL DB doivent publier les journaux d'audit dans Logs CloudWatch Ce contrôle vérifie si un cluster Amazon Aurora My SQL DB est configuré pour publier des journaux d'audit sur Amazon CloudWatch Logs. Security Hub a mis à jour le contrôle afin qu'il ne génère pas de résultats pour les clusters de base de données Aurora Serverless v1.
11 juin 2024 [EKS.2] les EKS clusters doivent fonctionner sur une version de Kubernetes prise en charge Ce contrôle vérifie si un cluster Amazon Elastic Kubernetes Service (EKSAmazon) s'exécute sur une version de Kubernetes prise en charge. La plus ancienne version prise en charge est1.27.
10 juin 2024 [Configuration 1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources Cette commande vérifie si elle AWS Config est activée et si l'enregistrement AWS Config des ressources est activé. Auparavant, le contrôle produisait un PASSED résultat uniquement si vous configuriez l'enregistrement pour toutes les ressources. Security Hub a mis à jour le contrôle pour produire un PASSED résultat lorsque l'enregistrement est activé pour les ressources requises pour les contrôles activés. Le contrôle a également été mis à jour pour vérifier si le rôle AWS Config lié au service est utilisé, ce qui donne les autorisations nécessaires pour enregistrer les ressources nécessaires.
8 mai 2024 [S3.20] La suppression des compartiments S3 à usage général devrait être activée MFA Ce contrôle vérifie si la suppression par authentification multifactorielle (MFA) est activée dans un compartiment versionné à usage général Amazon S3. Auparavant, le contrôle produisait un FAILED résultat pour les buckets dotés d'une configuration Lifecycle. Toutefois, la MFA suppression avec gestion des versions ne peut pas être activée sur un compartiment doté d'une configuration Lifecycle. Security Hub a mis à jour le contrôle afin de ne produire aucun résultat pour les buckets dotés d'une configuration Lifecycle. La description du contrôle a été mise à jour pour refléter le comportement actuel.
2 mai 2024 [EKS.2] les EKS clusters doivent fonctionner sur une version de Kubernetes prise en charge Security Hub a mis à jour la plus ancienne version prise en charge de Kubernetes sur laquelle le EKS cluster Amazon peut s'exécuter afin de produire un résultat transmis. La version actuellement prise en charge la plus ancienne est Kubernetes1.26.
30 avril 2024 [CloudTrail.3] Au moins une CloudTrail piste doit être activée Le titre du contrôle modifié CloudTrail passe de doit être activé à Au moins une CloudTrail piste doit être activée. Ce contrôle produit actuellement un PASSED résultat si au moins Compte AWS une CloudTrail piste est activée. Le titre et la description ont été modifiés pour refléter précisément le comportement actuel.
29 avril 2024 [AutoScaling.1] Les groupes Auto Scaling associés à un équilibreur de charge doivent utiliser des contrôles ELB de santé Le titre du contrôle a été modifié : les groupes Auto Scaling associés à un Classic Load Balancer doivent utiliser des contrôles de santé de l'équilibreur de charge alors que les groupes Auto Scaling associés à un équilibreur de charge doivent utiliser des contrôles de santé. ELB Ce contrôle évalue actuellement les équilibreurs de charge d'application, de passerelle, de réseau et classiques. Le titre et la description ont été modifiés pour refléter précisément le comportement actuel.
19 avril 2024 [CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture Le contrôle vérifie s'il AWS CloudTrail est activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture. Auparavant, le contrôle générait des PASSED résultats de manière incorrecte lorsqu'un compte avait CloudTrail activé et configuré au moins un suivi multirégional, même si aucun journal ne capturait les événements de gestion de lecture et d'écriture. Le contrôle génère désormais un PASSED résultat uniquement lorsqu'il CloudTrail est activé et configuré avec au moins un journal multirégional qui capture les événements de gestion de lecture et d'écriture.
10 avril 2024 [Athena.1] Les groupes de travail Athena doivent être chiffrés au repos Security Hub a retiré ce contrôle et l'a retiré de toutes les normes. Les groupes de travail Athena envoient des journaux vers des compartiments Amazon Simple Storage Service (Amazon S3). Amazon S3 fournit désormais un chiffrement par défaut avec des clés gérées S3 (SS3-S3) sur les compartiments S3 nouveaux et existants.
10 avril 2024 [AutoScaling.4] La configuration de lancement du groupe Auto Scaling ne doit pas comporter de limite de sauts de réponse aux métadonnées supérieure à 1 Security Hub a retiré ce contrôle et l'a retiré de toutes les normes. Les limites des sauts de réponse aux métadonnées pour les instances Amazon Elastic Compute Cloud (AmazonEC2) dépendent de la charge de travail.
10 avril 2024 [CloudFormation.1] les CloudFormation piles doivent être intégrées à Simple Notification Service () SNS Security Hub a retiré ce contrôle et l'a retiré de toutes les normes. L'intégration des AWS CloudFormation stacks aux SNS rubriques Amazon n'est plus une bonne pratique en matière de sécurité. Bien qu'il puisse être utile d'intégrer des CloudFormation piles importantes à des SNS sujets, elle n'est pas obligatoire pour toutes les piles.
10 avril 2024 [CodeBuild.5] le mode privilégié ne doit pas être activé dans les environnements de CodeBuild projet Security Hub a retiré ce contrôle et l'a retiré de toutes les normes. L'activation du mode privilégié dans un CodeBuild projet n'impose aucun risque supplémentaire à l'environnement du client.
10 avril 2024 [IAM.20] Évitez d'utiliser l'utilisateur root Security Hub a retiré ce contrôle et l'a retiré de toutes les normes. Le but de ce contrôle est couvert par un autre contrôle,[CloudWatch.1] Un filtre logarithmique et une alarme doivent exister pour l'utilisation de l'utilisateur « root ».
10 avril 2024 [SNS.2] L'enregistrement de l'état de livraison doit être activé pour les messages de notification envoyés à un sujet Security Hub a retiré ce contrôle et l'a retiré de toutes les normes. L'enregistrement de l'état de diffusion SNS des sujets n'est plus une bonne pratique en matière de sécurité. Bien que l'enregistrement de l'état de livraison pour SNS les sujets importants puisse être utile, il n'est pas obligatoire pour tous les sujets.
10 avril 2024 [S3.10] Les compartiments S3 à usage général avec la gestion des versions activée doivent avoir des configurations de cycle de vie Security Hub a supprimé ce contrôle de AWS Foundational Security Best Practices v1.0.0 et Service-Managed Standard :. AWS Control Tower L'objectif de ce contrôle est couvert par deux autres contrôles : [S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie et[S3.14] La gestion des versions des compartiments S3 à usage général devrait être activée. Ce contrôle fait toujours partie du NIST SP 800-53 Rev. 5.
10 avril 2024 [S3.11] Les notifications d'événements devraient être activées dans les compartiments S3 à usage général Security Hub a supprimé ce contrôle de AWS Foundational Security Best Practices v1.0.0 et Service-Managed Standard :. AWS Control Tower Bien que les notifications d'événements pour les compartiments S3 soient utiles dans certains cas, il ne s'agit pas d'une bonne pratique universelle en matière de sécurité. Ce contrôle fait toujours partie du NIST SP 800-53 Rev. 5.
10 avril 2024 [SNS.1] les SNS sujets doivent être chiffrés au repos à l'aide de AWS KMS Security Hub a supprimé ce contrôle de AWS Foundational Security Best Practices v1.0.0 et Service-Managed Standard :. AWS Control Tower Par défaut, SNS chiffre les sujets inactifs à l'aide du chiffrement du disque. Pour en savoir plus, consultez Chiffrement des données. L'utilisation AWS KMS pour chiffrer des sujets n'est plus recommandée en tant que bonne pratique de sécurité. Ce contrôle fait toujours partie du NIST SP 800-53 Rev. 5.
8 avril 2024 [ELB.6] La protection contre les suppressions doit être activée sur les équilibreurs de charge des applications, des passerelles et du réseau Le titre de contrôle modifié de la protection contre la suppression d'Application Load Balancer doit être activé vers Application, Gateway et Network Load Balancers doit avoir la protection contre la suppression activée. Ce contrôle évalue actuellement les équilibreurs de charge d'application, de passerelle et de réseau. Le titre et la description ont été modifiés pour refléter précisément le comportement actuel.
22 mars 2024 [Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées conformément à la dernière politique de sécurité TLS Le titre de contrôle modifié passe de Connexions aux OpenSearch domaines à chiffrer à l'aide de la version TLS 1.2 à Les connexions aux OpenSearch domaines doivent être chiffrées selon la dernière politique TLS de sécurité. Auparavant, le contrôle vérifiait uniquement si les connexions aux OpenSearch domaines utilisaient la version TLS 1.2. Le contrôle permet désormais de déterminer si PASSED les OpenSearch domaines sont chiffrés à l'aide de la dernière politique TLS de sécurité. Le titre et la description du contrôle ont été mis à jour pour refléter le comportement actuel.
22 mars 2024 [ES.8] Les connexions aux domaines Elasticsearch doivent être chiffrées conformément à la dernière politique de sécurité TLS Le titre de contrôle modifié de Connexions aux domaines Elasticsearch doit être crypté à l'aide de la version TLS 1.2 à Connections aux domaines Elasticsearch doit être crypté en utilisant la dernière politique de sécurité. TLS Auparavant, le contrôle vérifiait uniquement si les connexions aux domaines Elasticsearch utilisaient TLS la version 1.2. Le contrôle permet désormais de déterminer si les domaines Elasticsearch sont chiffrés à l'aide de la dernière politique TLS de sécurité. PASSED Le titre et la description du contrôle ont été mis à jour pour refléter le comportement actuel.
12 mars 2024 [S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général devraient être activés Le titre modifié du paramètre S3 Block Public Access doit être activé pour les compartiments S3 à usage général devrait avoir les paramètres de blocage de l'accès public activés. Security Hub a modifié le titre pour tenir compte d'un nouveau type de compartiment S3.
12 mars 2024 [S3.2] Les compartiments à usage général S3 devraient bloquer l'accès public à la lecture La modification du titre des compartiments S3 devrait interdire l'accès public en lecture. Les compartiments S3 à usage général devraient bloquer l'accès public en lecture. Security Hub a modifié le titre pour tenir compte d'un nouveau type de compartiment S3.
12 mars 2024 [S3.3] Les compartiments à usage général S3 devraient bloquer l'accès public en écriture La modification du titre des compartiments S3 devrait interdire l'accès public en écriture. Les compartiments S3 à usage général devraient bloquer l'accès en écriture public. Security Hub a modifié le titre pour tenir compte d'un nouveau type de compartiment S3.
12 mars 2024 [S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation SSL Le titre modifié des compartiments S3 devrait nécessiter des demandes d'utilisation de Secure Socket Layer. Les compartiments S3 à usage général devraient nécessiter des demandes d'utilisation. SSL Security Hub a modifié le titre pour tenir compte d'un nouveau type de compartiment S3.
12 mars 2024 [S3.6] Les politiques générales relatives aux compartiments S3 devraient restreindre l'accès à d'autres Comptes AWS Le titre modifié par rapport aux autorisations S3 accordées Comptes AWS à d'autres politiques intégrées au compartiment doit être limité aux politiques de compartiment à usage général de S3 qui doivent restreindre l'accès aux autres Comptes AWS. Security Hub a modifié le titre pour tenir compte d'un nouveau type de compartiment S3.
12 mars 2024 [S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions Le titre modifié des compartiments S3 doit indiquer que la réplication entre régions est activée, tandis que les compartiments S3 à usage général doivent utiliser la réplication entre régions. Security Hub a modifié le titre pour tenir compte d'un nouveau type de compartiment S3.
12 mars 2024 [S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions Le titre modifié des compartiments S3 doit indiquer que la réplication entre régions est activée, tandis que les compartiments S3 à usage général doivent utiliser la réplication entre régions. Security Hub a modifié le titre pour tenir compte d'un nouveau type de compartiment S3.
12 mars 2024 [S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public Le titre modifié du paramètre S3 Block Public Access doit être activé au niveau du bucket à celui des buckets à usage général S3 doit bloquer l'accès public. Security Hub a modifié le titre pour tenir compte d'un nouveau type de compartiment S3.
12 mars 2024 [S3.9] La journalisation des accès au serveur doit être activée dans les compartiments S3 à usage général Le titre modifié de la journalisation de l'accès au serveur du compartiment S3 doit être activé à la journalisation de l'accès au serveur doit être activée pour les compartiments à usage général S3. Security Hub a modifié le titre pour tenir compte d'un nouveau type de compartiment S3.
12 mars 2024 [S3.10] Les compartiments S3 à usage général avec la gestion des versions activée doivent avoir des configurations de cycle de vie Le titre modifié des compartiments S3 avec le versionnement activé doit avoir des politiques de cycle de vie configurées, tandis que les compartiments S3 à usage général avec le versionnement activé doivent avoir des configurations de cycle de vie. Security Hub a modifié le titre pour tenir compte d'un nouveau type de compartiment S3.
12 mars 2024 [S3.11] Les notifications d'événements devraient être activées dans les compartiments S3 à usage général Le titre modifié des compartiments S3 devrait avoir les notifications d'événements activées alors que les compartiments S3 à usage général devraient avoir les notifications d'événements activées. Security Hub a modifié le titre pour tenir compte d'un nouveau type de compartiment S3.
12 mars 2024 [S3.12] ne ACLs doit pas être utilisé pour gérer l'accès des utilisateurs aux compartiments S3 à usage général Le titre modifié des listes de contrôle d'accès S3 (ACLs) ne doit pas être utilisé pour gérer l'accès des utilisateurs aux ACLs compartiments ni pour gérer l'accès des utilisateurs aux compartiments à usage général S3. Security Hub a modifié le titre pour tenir compte d'un nouveau type de compartiment S3.
12 mars 2024 [S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie Le titre modifié des compartiments S3 doit avoir des politiques de cycle de vie configurées alors que les compartiments S3 à usage général doivent avoir des configurations de cycle de vie. Security Hub a modifié le titre pour tenir compte d'un nouveau type de compartiment S3.
12 mars 2024 [S3.14] La gestion des versions des compartiments S3 à usage général devrait être activée Le titre modifié des compartiments S3 doit utiliser la gestion des versions alors que les compartiments S3 à usage général doivent avoir la fonction de version activée. Security Hub a modifié le titre pour tenir compte d'un nouveau type de compartiment S3.
12 mars 2024 [S3.15] Object Lock doit être activé dans les compartiments S3 à usage général Le titre modifié des compartiments S3 doit être configuré pour utiliser le verrouillage des objets. Les compartiments S3 à usage général doivent avoir le verrouillage des objets activé. Security Hub a modifié le titre pour tenir compte d'un nouveau type de compartiment S3.
12 mars 2024 [S3.17] Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys Le titre modifié des compartiments S3 doit être chiffré au repos par des compartiments S3 AWS KMS keysà usage général avec lesquels les compartiments S3 doivent être chiffrés au repos. AWS KMS keys Security Hub a modifié le titre pour tenir compte d'un nouveau type de compartiment S3.
7 mars 2024 [Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub prend désormais en charge nodejs20.x et ruby3.3 en tant que paramètre.
22 février 2024 [Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub le prend désormais en charge en dotnet8 tant que paramètre.
5 février 2024 [EKS.2] les EKS clusters doivent fonctionner sur une version de Kubernetes prise en charge Security Hub a mis à jour la plus ancienne version prise en charge de Kubernetes sur laquelle le EKS cluster Amazon peut s'exécuter afin de produire un résultat transmis. La version actuellement prise en charge la plus ancienne est Kubernetes1.25.
10 janvier 2024 [CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles Le titre modifié par rapport au référentiel source Bitbucket CodeBuild GitHub ou OAuth à utiliser pour le référentiel URLs source CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles. Security Hub a supprimé la mention OAuth car d'autres méthodes de connexion peuvent également être sécurisées. Security Hub a supprimé la mention GitHub car il n'est plus possible d'avoir un jeton d'accès personnel ou un nom d'utilisateur et un mot de passe dans le référentiel GitHub sourceURLs.
8 janvier 2024 [Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub ne prend plus en charge go1.x et en java8 tant que paramètres car il s'agit d'environnements d'exécution retirés.
29 décembre 2023 [RDS.8] La protection contre la suppression des RDS instances de base de données doit être activée RDS.8 vérifie si la protection contre la suppression est activée sur une RDS instance de base de données Amazon qui utilise l'un des moteurs de base de données pris en charge. Security Hub prend désormais en charge custom-oracle-eeoracle-ee-cdb, et en oracle-se2-cdb tant que moteurs de base de données.
22 décembre 2023 [Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub prend désormais en charge java21 et en python3.12 tant que paramètres. Security Hub n'est plus pris en charge en ruby2.7 tant que paramètre.
15 décembre 2023 [CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré CloudFront.1 vérifie si un objet racine par défaut est configuré pour une CloudFront distribution Amazon. Security Hub a réduit la sévérité de ce contrôle de CRITICAL à, HIGH car l'ajout de l'objet racine par défaut est une recommandation qui dépend de l'application de l'utilisateur et des exigences spécifiques.
5 décembre 2023 [EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22 Le titre du contrôle a été modifié : les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 vers les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22.
5 décembre 2023 [EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389 Le titre du contrôle est passé de « Assurez-vous qu'aucun groupe de sécurité n'autorise l'entrée depuis 0.0.0.0/0 vers le port 3389 » à « Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389 ».
5 décembre 2023 [RDS.9] Les RDS instances de base de données doivent publier les journaux dans Logs CloudWatch Le titre de contrôle modifié de la journalisation de la base de données doit être activé pour que les RDS instances de base de données publient les journaux dans CloudWatch les journaux. Security Hub a identifié que ce contrôle vérifie uniquement si les journaux sont publiés sur Amazon CloudWatch Logs et ne vérifie pas si les RDS journaux sont activés. Le contrôle permet de déterminer si PASSED les RDS instances de base de données sont configurées pour publier des CloudWatch journaux dans Logs. Le titre du contrôle a été mis à jour pour refléter le comportement actuel.
5 décembre 2023 [EKS.8] la journalisation des audits doit être activée sur les EKS clusters Ce contrôle vérifie si la journalisation des audits est activée sur les EKS clusters Amazon. La AWS Config règle utilisée par Security Hub pour évaluer ce contrôle est passée de eks-cluster-logging-enabled àeks-cluster-log-enabled.
17 novembre 2023 [EC2.19] Les groupes de sécurité ne doivent pas autoriser un accès illimité aux ports présentant un risque élevé EC2.19 vérifie si le trafic entrant non restreint d'un groupe de sécurité est accessible aux ports spécifiés considérés comme présentant un risque élevé. Security Hub a mis à jour ce contrôle pour prendre en compte les listes de préfixes gérées lorsqu'elles sont fournies comme source pour une règle de groupe de sécurité. Le contrôle produit un FAILED résultat si les listes de préfixes contiennent les chaînes « 0.0.0.0/0 » ou « : :/0».
16 novembre 2023 [CloudWatch.15] les CloudWatch alarmes doivent avoir des actions spécifiées configurées Le titre de contrôle modifié, passant d'une CloudWatch alarme à une action configurée pour l'ALARMétat, à une action spécifiée doit être configurée pour les CloudWatch alarmes.
16 novembre 2023 [CloudWatch.16] les groupes de CloudWatch journaux doivent être conservés pendant une période spécifiée Le titre de contrôle modifié des groupes de CloudWatch journaux doit être conservé pendant au moins un an alors que les groupes de CloudWatch journaux doivent être conservés pendant une période spécifiée.
16 novembre 2023 [Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité Le titre de contrôle modifié passe des fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité aux fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité.
16 novembre 2023 [AppSync2] AWS AppSync la journalisation au niveau du champ doit être activée Le titre de contrôle modifié de AWS AppSync devrait avoir activé la journalisation au niveau de la demande et au niveau du champ pour activer la journalisation auAWS AppSync niveau du champ.
16 novembre 2023 [EMR.1] Les nœuds principaux EMR du cluster Amazon ne doivent pas avoir d'adresses IP publiques Titre de contrôle modifié depuis les nœuds principaux du MapReduce cluster Amazon Elastic ne doit pas avoir d'adresse IP publique alors que les nœuds principaux EMR du cluster Amazon ne doivent pas avoir d'adresses IP publiques.
16 novembre 2023 Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public Le titre de contrôle modifié des OpenSearch domaines doit être compris entre a VPC et. Les OpenSearch domaines ne doivent pas être accessibles au public.
16 novembre 2023 [ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public Le titre de contrôle modifié des domaines Elasticsearch doit se trouver dans un. Les domaines Elasticsearch ne doivent pas être accessibles VPC au public.
31 octobre 2023 [ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée ES.4 vérifie si les domaines Elasticsearch sont configurés pour envoyer des journaux d'erreurs à Amazon Logs. CloudWatch Le contrôle a précédemment produit une PASSED recherche pour un domaine Elasticsearch dont tous les journaux étaient configurés pour être envoyés à CloudWatch Logs. Security Hub a mis à jour le contrôle afin de générer un PASSED résultat uniquement pour un domaine Elasticsearch configuré pour envoyer des journaux d'erreurs à Logs. CloudWatch Le contrôle a également été mis à jour pour exclure de l'évaluation les versions d'Elasticsearch qui ne prennent pas en charge les journaux d'erreurs.
16 octobre 2023 [EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22 EC2.13 vérifie si les groupes de sécurité autorisent un accès d'entrée illimité au port 22. Security Hub a mis à jour ce contrôle pour prendre en compte les listes de préfixes gérées lorsqu'elles sont fournies comme source pour une règle de groupe de sécurité. Le contrôle produit un FAILED résultat si les listes de préfixes contiennent les chaînes « 0.0.0.0/0 » ou « : :/0».
16 octobre 2023 [EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389 EC2.14 vérifie si les groupes de sécurité autorisent un accès d'entrée illimité au port 3389. Security Hub a mis à jour ce contrôle pour prendre en compte les listes de préfixes gérées lorsqu'elles sont fournies comme source pour une règle de groupe de sécurité. Le contrôle produit un FAILED résultat si les listes de préfixes contiennent les chaînes « 0.0.0.0/0 » ou « : :/0».
16 octobre 2023 [EC2.18] Les groupes de sécurité ne doivent autoriser le trafic entrant illimité que pour les ports autorisés EC2.18 vérifie si les groupes de sécurité utilisés autorisent le trafic entrant sans restriction. Security Hub a mis à jour ce contrôle pour prendre en compte les listes de préfixes gérées lorsqu'elles sont fournies comme source pour une règle de groupe de sécurité. Le contrôle produit un FAILED résultat si les listes de préfixes contiennent les chaînes « 0.0.0.0/0 » ou « : :/0».
16 octobre 2023 [Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub le prend désormais en charge en python3.11 tant que paramètre.
4 octobre 2023 [S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions Security Hub a ajouté le paramètre ReplicationType avec la valeur de CROSS-REGION pour garantir que la réplication entre régions est activée dans les compartiments S3 plutôt que la réplication entre régions.
27 septembre 2023 [EKS.2] les EKS clusters doivent fonctionner sur une version de Kubernetes prise en charge Security Hub a mis à jour la plus ancienne version prise en charge de Kubernetes sur laquelle le EKS cluster Amazon peut s'exécuter afin de produire un résultat transmis. La version actuellement prise en charge la plus ancienne est Kubernetes1.24.
20 septembre 2023 CloudFront.2 — L'identité d'accès à l'origine doit être activée pour les CloudFront distributions Security Hub a retiré ce contrôle et l'a retiré de toutes les normes. Reportez-vous plutôt à la section [CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine. Le contrôle d'accès à l'origine est la meilleure pratique de sécurité actuelle. Ce contrôle sera supprimé de la documentation dans 90 jours.
20 septembre 2023 [EC2.22] Les groupes de EC2 sécurité Amazon non utilisés doivent être supprimés Security Hub a supprimé ce contrôle de AWS Foundational Security Best Practices (FSBP) et du National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5. Il fait toujours partie de Service-Managed Standard :. AWS Control Tower Ce contrôle produit un résultat positif si des groupes de sécurité sont attachés à EC2 des instances ou à une interface elastic network. Toutefois, dans certains cas d'utilisation, les groupes de sécurité indépendants ne présentent aucun risque de sécurité. Vous pouvez utiliser d'autres EC2 contrôles, tels que EC2 .2, EC2 .13, EC2 .14, EC2 .18 et EC2 .19, pour surveiller vos groupes de sécurité.
20 septembre 2023 EC2.29 — EC2 les instances doivent être lancées dans un VPC Security Hub a retiré ce contrôle et l'a retiré de toutes les normes. Amazon EC2 a migré les instances EC2 -Classic vers un. VPC Ce contrôle sera supprimé de la documentation dans 90 jours.
20 septembre 2023 S3.4 — Le chiffrement côté serveur doit être activé pour les compartiments S3 Security Hub a retiré ce contrôle et l'a retiré de toutes les normes. Amazon S3 fournit désormais un chiffrement par défaut avec des clés gérées S3 (SS3-S3) sur les compartiments S3 nouveaux et existants. Les paramètres de chiffrement restent inchangés pour les compartiments existants qui sont chiffrés avec le chiffrement SS3 -S3 ou SS3 - KMS côté serveur. Ce contrôle sera supprimé de la documentation dans 90 jours.
14 septembre 2023 [EC2.2] les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant Titre du contrôle modifié : le groupe de sécurité VPC par défaut ne doit pas autoriser le trafic entrant et sortant est devenu le groupe de sécurité VPC par défaut ne doit pas autoriser le trafic entrant ou sortant.
14 septembre 2023 [IAM.9] MFA doit être activé pour l'utilisateur root Le titre de contrôle modifié de Virtual MFA doit être activé pour l'utilisateur root alors qu'MFAil doit être activé pour l'utilisateur root.

14 septembre 2023

[RDS.19] Les abonnements existants aux notifications d'RDSévénements doivent être configurés pour les événements critiques du cluster Le titre du contrôle a été modifié, passant d'un abonnement aux notifications d'RDSévénements pour les événements critiques du cluster à un abonnement aux notifications d'RDSévénements existant doit être configuré pour les événements critiques du cluster.
14 septembre 2023 [RDS.20] Les abonnements existants aux notifications RDS d'événements doivent être configurés pour les événements critiques liés aux instances de base de données Titre de contrôle modifié de Un abonnement aux notifications d'RDSévénements doit être configuré pour les événements critiques d'instance de base de données à Les abonnements de notification d'RDSévénements existants doivent être configurés pour les événements critiques d'instance de base de données.
14 septembre 2023 [WAF2] AWS WAF Les règles régionales classiques doivent comporter au moins une condition Titre de contrôle modifié, passant d'une règle WAF régionale doit comporter au moins une condition à Une règle régionale AWS WAF classique doit comporter au moins une condition.
14 septembre 2023 [WAF.3] AWS WAF Les groupes de règles régionaux classiques doivent avoir au moins une règle Le titre de contrôle a été modifié, passant de Un groupe de règles WAF régional doit comporter au moins une règle à Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle.
14 septembre 2023 [WAF4] AWS WAF Le Web régional classique ACLs doit comporter au moins une règle ou un groupe de règles Le titre de contrôle est passé d'un site Web WAF régional ACL doit comporter au moins une règle ou un groupe de règles à un site Web régional AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles.
14 septembre 2023 [WAF.6] AWS WAF Les règles globales classiques doivent comporter au moins une condition Le titre du contrôle est passé d'une règle WAF globale doit comporter au moins une condition à Une règle globale AWS WAF classique doit comporter au moins une condition.
14 septembre 2023 [WAF.7] AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle Le titre du contrôle est passé de Un groupe de règles WAF global doit comporter au moins une règle à Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle.
14 septembre 2023 [WAF.8] AWS WAF Le Web global classique ACLs doit comporter au moins une règle ou un groupe de règles Le titre du contrôle est passé d'un site Web WAF global ACL doit comporter au moins une règle ou un groupe de règles à Un Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles.
14 septembre 2023 [WAF0,10] AWS WAF le Web ACLs doit comporter au moins une règle ou un groupe de règles Titre de contrôle modifié de Un WAFv2 site Web ACL doit avoir au moins une règle ou un groupe de règles à AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles.
14 septembre 2023 [WAF.11] AWS WAF la ACL journalisation sur le Web doit être activée Le titre de contrôle modifié de la ACLjournalisation Web AWS WAF v2 doit être activé à la ACLjournalisation AWS WAF Web doit être activée.

20 juillet 2023

S3.4 — Le chiffrement côté serveur doit être activé pour les compartiments S3 S3.4 vérifie si le chiffrement côté serveur est activé sur un compartiment Amazon S3 ou si la politique du compartiment S3 refuse explicitement les PutObject demandes sans chiffrement côté serveur. Security Hub a mis à jour ce contrôle pour inclure un chiffrement double couche côté serveur avec des KMS clés (DSSE-KMS). Le contrôle produit un résultat transmis lorsqu'un compartiment S3 est chiffré avec SSE -S3KMS, SSE - ou DSSE -KMS.
17 juillet 2023 [S3.17] Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys S3.17 vérifie si un compartiment Amazon S3 est chiffré avec un. AWS KMS key Security Hub a mis à jour ce contrôle pour inclure un chiffrement double couche côté serveur avec des KMS clés (DSSE-KMS). Le contrôle produit un résultat transmis lorsqu'un compartiment S3 est chiffré avec SSE - KMS ou DSSE -KMS.
9 juin 2023 [EKS.2] les EKS clusters doivent fonctionner sur une version de Kubernetes prise en charge EKS.2 vérifie si un EKS cluster Amazon s'exécute sur une version de Kubernetes prise en charge. La plus ancienne version prise en charge est maintenant. 1.23
9 juin 2023 [Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub le prend désormais en charge en ruby3.2 tant que paramètre.
5 juin 2023 [APIGateway.5] Les données REST API du cache de la API passerelle doivent être chiffrées au repos APIGateway.5. vérifie si toutes les méthodes des REST API stages Amazon API Gateway sont chiffrées au repos. Security Hub a mis à jour le contrôle pour évaluer le chiffrement d'une méthode particulière uniquement lorsque la mise en cache est activée pour cette méthode.
18 mai 2023 [Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub le prend désormais en charge en java17 tant que paramètre.
18 mai 2023 [Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub n'est plus pris en charge en nodejs12.x tant que paramètre.
23 avril 2023 [ECS.10] Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate ECS.10 vérifie si les services Amazon ECS Fargate exécutent la dernière version de la plateforme Fargate. Les clients peuvent déployer ECS Amazon ECS directement ou en utilisant CodeDeploy. Security Hub a mis à jour ce contrôle pour produire des résultats positifs lorsque vous l'utilisez CodeDeploy pour déployer les services ECS Fargate.
20 avril 2023 [S3.6] Les politiques générales relatives aux compartiments S3 devraient restreindre l'accès à d'autres Comptes AWS S3.6 vérifie si une politique de compartiment Amazon Simple Storage Service (Amazon S3) empêche les principaux tiers Comptes AWS d'effectuer des actions refusées sur les ressources du compartiment S3. Security Hub a mis à jour le contrôle pour tenir compte des conditions dans une politique de compartiment.
18 avril 2023 [Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub le prend désormais en charge en python3.10 tant que paramètre.
18 avril 2023 [Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub n'est plus pris en charge en dotnetcore3.1 tant que paramètre.
17 avril 2023 [RDS.11] les sauvegardes automatiques doivent être activées sur les RDS instances RDS.11 vérifie si les sauvegardes automatisées sont activées sur les RDS instances Amazon, avec une période de conservation des sauvegardes supérieure ou égale à sept jours. Security Hub a mis à jour ce contrôle pour exclure les répliques en lecture de l'évaluation, car tous les moteurs ne prennent pas en charge les sauvegardes automatiques sur les répliques en lecture. En outre, RDS ne permet pas de spécifier une période de conservation des sauvegardes lors de la création de répliques en lecture. Les répliques en lecture sont créées avec une période de conservation des sauvegardes 0 par défaut.