Contrôles Elastic Load Balancing - AWS Security Hub
[ELB.1] Application Load Balancer doit être configuré pour rediriger toutes les requêtes HTTP vers HTTPS[ELB.2] Les équilibreurs de charge classiques dotés d'écouteurs SSL/HTTPS doivent utiliser un certificat fourni par AWS Certificate Manager[ELB.3] Les écouteurs Classic Load Balancer doivent être configurés avec une terminaison HTTPS ou TLS[ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP[ELB.5] La journalisation des applications et des équilibreurs de charge classiques doit être activée[ELB.6] La protection contre les suppressions doit être activée sur les équilibreurs de charge des applications, des passerelles et du réseau[ELB.7] Le drainage des connexions doit être activé sur les équilibreurs de charge classiques[ELB.8] Les équilibreurs de charge classiques dotés d'écouteurs SSL doivent utiliser une politique de sécurité prédéfinie d'une durée élevée AWS Config[ELB.9] L'équilibrage de charge entre zones doit être activé sur les équilibreurs de charge classiques[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité[ELB.12] Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict[ELB.13] Les équilibreurs de charge des applications, des réseaux et des passerelles doivent couvrir plusieurs zones de disponibilité[ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict[ELB.16] Les équilibreurs de charge d'application doivent être associés à une ACL Web AWS WAF

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôles Elastic Load Balancing

Ces contrôles sont liés aux ressources Elastic Load Balancing.

Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour plus d’informations, consultez Disponibilité des contrôles par région.

[ELB.1] Application Load Balancer doit être configuré pour rediriger toutes les requêtes HTTP vers HTTPS

Exigences connexes : PCI DSS v3.2.1/2.3, PCI DSS v3.2.1/4.1, NIST.800-53.R5 AC-17 (2), NIST.800-53.R5 AC-4, NIST.800-53.R5 IA-5 (1), NIST.800-53.R5 SC-12 (3), NIST.800-53.R5 SC-13, NIST.800-53.R5 SC-23, NIST.800-53.R5 SC-23, NIST.800-53.R5 SC-23, NIST.800-53.R5 SC-23, NIST.800-53.R5 SC-23 .800-53.R5 SC-23 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-8, NIST.800-53.R5 SC-8 (1), NIST.800-53.R5 SC-8 (2), NIST.800-53.R5 SI-7 (6)

Catégorie : Détecter - Services de détection

Gravité : Moyenne

Type de ressource : AWS::ElasticLoadBalancingV2::LoadBalancer

Règle AWS Config  : alb-http-to-https-redirection-check

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si la redirection HTTP vers HTTPS est configurée sur tous les écouteurs HTTP des équilibreurs de charge d'application. Le contrôle échoue si la redirection HTTP vers HTTPS n'est pas configurée pour l'un des écouteurs HTTP des équilibreurs de charge d'application.

Avant de commencer à utiliser votre Application Load Balancer, vous devez ajouter un ou plusieurs écouteurs. Un écouteur est un processus qui utilise le protocole et le port configurés pour vérifier les demandes de connexion. Les écouteurs supportent à la fois les protocoles HTTP et HTTPS. Vous pouvez utiliser un écouteur HTTPS pour déléguer le travail de chiffrement et de déchiffrement à votre équilibreur de charge. Pour appliquer le chiffrement en transit, vous devez utiliser des actions de redirection avec les équilibreurs de charge d'application pour rediriger les requêtes HTTP des clients vers une requête HTTPS sur le port 443.

Pour en savoir plus, consultez la section Écouteurs pour vos équilibreurs de charge d'application dans le Guide de l'utilisateur pour les équilibreurs de charge d'application.

Correction

Pour rediriger les requêtes HTTP vers HTTPS, vous devez ajouter une règle d'écoute Application Load Balancer ou modifier une règle existante.

Pour obtenir des instructions sur l'ajout d'une nouvelle règle, voir Ajouter une règle dans le Guide de l'utilisateur pour les équilibreurs de charge d'application. Pour Protocole : Port, choisissez HTTP, puis entrez80. Pour Ajouter une action, Rediriger vers, choisissez HTTPS, puis entrez443.

Pour obtenir des instructions sur la modification d'une règle existante, voir Modifier une règle dans le Guide de l'utilisateur des équilibreurs de charge d'application. Pour Protocole : Port, choisissez HTTP, puis entrez80. Pour Ajouter une action, Rediriger vers, choisissez HTTPS, puis entrez443.

[ELB.2] Les équilibreurs de charge classiques dotés d'écouteurs SSL/HTTPS doivent utiliser un certificat fourni par AWS Certificate Manager

Exigences connexes : NIST.800-53.R5 AC-17 (2), NIST.800-53.R5 AC-4, NIST.800-53.R5 IA-5 (1), NIST.800-53.R5 SC-12 (3), NIST.800-53.R5 SC-13, NIST.800-53.R5 SC-23 (5), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-8, NIST.800-53.R5 SC-8 (1), NIST.800-53.R5 SC-8 (2), NIST.800-53.R5 SI-7 (6)

Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit

Gravité : Moyenne

Type de ressource : AWS::ElasticLoadBalancing::LoadBalancer

Règle AWS Config  : elb-acm-certificate-required

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si le Classic Load Balancer utilise des certificats HTTPS/SSL fournis par AWS Certificate Manager (ACM). Le contrôle échoue si le Classic Load Balancer configuré avec un écouteur HTTPS/SSL n'utilise pas de certificat fourni par ACM.

Pour créer un certificat, vous pouvez utiliser ACM ou un outil compatible avec les protocoles SSL et TLS, comme OpenSSL. Security Hub vous recommande d'utiliser ACM pour créer ou importer des certificats pour votre équilibreur de charge.

ACM s'intègre aux équilibreurs de charge classiques afin que vous puissiez déployer le certificat sur votre équilibreur de charge. Vous devez également renouveler automatiquement ces certificats.

Correction

Pour plus d'informations sur la façon d'associer un certificat SSL/TLS ACM à un Classic Load Balancer, consultez l'article du AWS Knowledge Center Comment associer un certificat ACM SSL/TLS à un Classic, Application ou Network Load Balancer ?

[ELB.3] Les écouteurs Classic Load Balancer doivent être configurés avec une terminaison HTTPS ou TLS

Exigences connexes : NIST.800-53.R5 AC-17 (2), NIST.800-53.R5 AC-4, NIST.800-53.R5 IA-5 (1), NIST.800-53.R5 SC-12 (3), NIST.800-53.R5 SC-13, NIST.800-53.R5 SC-23 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-8, NIST.800-53.R5 SC-8 (1), NIST.800-53.R5 SC-8 (2), NIST.800-53.R5 SI-7 (6)

Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit

Gravité : Moyenne

Type de ressource : AWS::ElasticLoadBalancing::LoadBalancer

Règle AWS Config  : elb-tls-https-listeners-only

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si vos écouteurs Classic Load Balancer sont configurés avec le protocole HTTPS ou TLS pour les connexions frontales (client-équilibreur de charge). Le contrôle est applicable si un Classic Load Balancer possède des écouteurs. Si aucun écouteur n'est configuré sur votre Classic Load Balancer, le contrôle ne signale aucun résultat.

Le contrôle passe si les écouteurs Classic Load Balancer sont configurés avec TLS ou HTTPS pour les connexions frontales.

Le contrôle échoue si l'écouteur n'est pas configuré avec TLS ou HTTPS pour les connexions frontales.

Avant de commencer à utiliser un équilibreur de charge, vous devez ajouter un ou plusieurs écouteurs. Un écouteur est un processus qui utilise le protocole et le port configurés pour vérifier les demandes de connexion. Les écouteurs peuvent prendre en charge les protocoles HTTP et HTTPS/TLS. Vous devez toujours utiliser un écouteur HTTPS ou TLS, afin que l'équilibreur de charge effectue le chiffrement et le déchiffrement en transit.

Correction

Pour remédier à ce problème, mettez à jour vos écouteurs afin qu'ils utilisent le protocole TLS ou HTTPS.

Pour remplacer tous les écouteurs non conformes par des écouteurs TLS/HTTPS

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le volet de navigation, sous Équilibrage de charge, choisissez Équilibreurs de charge.

  3. Sélectionnez votre Classic Load Balancer.

  4. Sous l'onglet Listeners, choisissez Edit.

  5. Pour tous les écouteurs pour lesquels le protocole Load Balancer n'est pas défini sur HTTPS ou SSL, modifiez le paramètre sur HTTPS ou SSL.

  6. Pour tous les écouteurs modifiés, dans l'onglet Certificats, sélectionnez Modifier par défaut.

  7. Pour Certificats ACM et IAM, sélectionnez un certificat.

  8. Choisissez Enregistrer par défaut.

  9. Après avoir mis à jour tous les écouteurs, choisissez Enregistrer.

[ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP

Exigences connexes : NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-8 (2)

Catégorie : Protection > Sécurité du réseau

Gravité : Moyenne

Type de ressource : AWS::ElasticLoadBalancingV2::LoadBalancer

Règle AWS Config  : alb-http-drop-invalid-header-enabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle évalue les équilibreurs de charge AWS d'application pour s'assurer qu'ils sont configurés pour supprimer les en-têtes HTTP non valides. Le contrôle échoue si la valeur de routing.http.drop_invalid_header_fields.enabled est définie surfalse.

Par défaut, les équilibreurs de charge d'application ne sont pas configurés pour supprimer les valeurs d'en-tête HTTP non valides. La suppression de ces valeurs d'en-tête empêche les attaques de désynchronisation HTTP.

Notez que vous pouvez désactiver ce contrôle si ELB.12 est activé.

Correction

Pour remédier à ce problème, configurez votre équilibreur de charge pour supprimer les champs d'en-tête non valides.

Pour configurer l'équilibreur de charge afin de supprimer les champs d'en-tête non valides

  1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le volet de navigation, choisissez Load Balancers (Équilibreurs de charge).

  3. Choisissez un Application Load Balancer.

  4. Dans Actions, sélectionnez Modifier les attributs.

  5. Sous Supprimer les champs d'en-tête non valides, sélectionnez Activer.

  6. Choisissez Enregistrer.

[ELB.5] La journalisation des applications et des équilibreurs de charge classiques doit être activée

Exigences connexes : NIST.800-53.R5 AC-4 (26), NIST.800-53.R5 AU-10, NIST.800-53.R5 AU-12, NIST.800-53.R5 AU-2, Nist.800-53.R5 AU-3, NIST.800-53.R5 AU-6 (3), NIST.800-53.R5 AU-6 (4), NIST.800-53.R5 CA-7, NiST.800-53.R5 .800-53.R5 SC-7 (9), NIST.800-53.R5 SI-7 (8)

Catégorie : Identifier - Journalisation

Gravité : Moyenne

Type de ressource :AWS::ElasticLoadBalancing::LoadBalancer, AWS::ElasticLoadBalancingV2::LoadBalancer

Règle AWS Config  : elb-logging-enabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si la journalisation est activée dans l'Application Load Balancer et le Classic Load Balancer. Le contrôle échoue si tel access_logs.s3.enabled est le casfalse.

Elastic Load Balancing fournit des journaux d'accès qui capturent des informations détaillées sur les demandes envoyées à votre équilibreur de charge. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. Vous pouvez utiliser ces journaux d'accès pour analyser les modèles de trafic et résoudre des problèmes.

Pour en savoir plus, consultez les journaux d'accès de votre Classic Load Balancer dans le guide de l'utilisateur pour les Classic Load Balancers.

Correction

Pour activer les journaux d'accès, reportez-vous à l'étape 3 : Configuration des journaux d'accès dans le Guide de l'utilisateur pour les équilibreurs de charge d'application.

[ELB.6] La protection contre les suppressions doit être activée sur les équilibreurs de charge des applications, des passerelles et du réseau

Exigences connexes : NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-2, NIST.800-53.R5 CM-2 (2), NIST.800-53.R5 CM-3, NIST.800-53.R5 SC-5 (2)

Catégorie : Restauration > Résilience > Haute disponibilité

Gravité : Moyenne

Type de ressource : AWS::ElasticLoadBalancingV2::LoadBalancer

Règle AWS Config  : elb-deletion-protection-enabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si la protection contre les suppressions est activée pour une application, une passerelle ou un Network Load Balancer. Le contrôle échoue si la protection contre la suppression est désactivée.

Activez la protection contre la suppression pour empêcher la suppression de votre application, de votre passerelle ou de votre Network Load Balancer.

Correction

Pour éviter la suppression accidentelle de votre équilibreur de charge, vous pouvez activer la protection contre la suppression. Par défaut, la protection contre la suppression est désactivée pour votre équilibreur de charge.

Si vous activez la protection contre la suppression pour votre équilibreur de charge, vous devez désactiver la protection contre la suppression avant de pouvoir supprimer l'équilibreur de charge.

Pour activer la protection contre la suppression pour un Application Load Balancer, consultez la section Protection contre la suppression dans le Guide de l'utilisateur pour les Application Load Balancers. Pour activer la protection contre la suppression pour un Gateway Load Balancer, consultez la section Protection contre la suppression dans le Guide de l'utilisateur pour les Gateway Load Balancers. Pour activer la protection contre la suppression pour un Network Load Balancer, consultez la section Protection contre la suppression dans le Guide de l'utilisateur pour les Network Load Balancers.

[ELB.7] Le drainage des connexions doit être activé sur les équilibreurs de charge classiques

Exigences connexes : NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-2

Catégorie : Récupération > Résilience

Gravité : Moyenne

Type de ressource : AWS::ElasticLoadBalancing::LoadBalancer

AWS Config règle : elb-connection-draining-enabled (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si le drainage des connexions est activé sur les équilibreurs de charge classiques.

L'activation du drainage des connexions sur les équilibreurs de charge classiques garantit que l'équilibreur de charge cesse d'envoyer des demandes aux instances dont l'enregistrement est annulé ou qui ne fonctionnent pas correctement. Cela permet de maintenir ouvertes les connexions existantes. Cela est particulièrement utile pour les instances des groupes Auto Scaling, afin de garantir que les connexions ne sont pas interrompues brusquement.

Correction

Pour activer le drainage des connexions sur les Classic Load Balancers, voir Configurer le drainage des connexions pour votre Classic Load Balancer dans le Guide de l'utilisateur pour les Classic Load Balancers.

[ELB.8] Les équilibreurs de charge classiques dotés d'écouteurs SSL doivent utiliser une politique de sécurité prédéfinie d'une durée élevée AWS Config

Exigences connexes : NIST.800-53.R5 AC-17 (2), NIST.800-53.R5 AC-4, NIST.800-53.R5 IA-5 (1), NIST.800-53.R5 SC-12 (3), NIST.800-53.R5 SC-13, NIST.800-53.R5 SC-23 (3), NIST.800-53.R5 SC-7 (4), NIST.800-53.R5 SC-8, NIST.800-53.R5 SC-8 (1), NIST.800-53.R5 SC-8 (2), NIST.800-53.R5 SI-7 (6)

Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit

Gravité : Moyenne

Type de ressource : AWS::ElasticLoadBalancing::LoadBalancer

Règle AWS Config  : elb-predefined-security-policy-ssl-check

Type de calendrier : changement déclenché

Paramètres :

  • predefinedPolicyName: ELBSecurityPolicy-TLS-1-2-2017-01 (non personnalisable)

Ce contrôle vérifie si vos écouteurs HTTPS/SSL Classic Load Balancer utilisent la politique prédéfinie. ELBSecurityPolicy-TLS-1-2-2017-01 Le contrôle échoue si les écouteurs HTTPS/SSL Classic Load Balancer ne sont pas utilisés. ELBSecurityPolicy-TLS-1-2-2017-01

Une politique de sécurité est une combinaison de protocoles SSL, de chiffrements et de l'option de préférence d'ordre du serveur. Des politiques prédéfinies contrôlent les chiffrements, les protocoles et les ordres de préférence à prendre en charge lors des négociations SSL entre un client et un équilibreur de charge.

L'utilisation ELBSecurityPolicy-TLS-1-2-2017-01 peut vous aider à respecter les normes de conformité et de sécurité qui vous obligent à désactiver des versions spécifiques de SSL et TLS. Pour plus d'informations, voir Politiques de sécurité SSL prédéfinies pour les équilibreurs de charge classiques dans le Guide de l'utilisateur pour les équilibreurs de charge classiques.

Correction

Pour plus d'informations sur l'utilisation de la politique de sécurité prédéfinie ELBSecurityPolicy-TLS-1-2-2017-01 avec un Classic Load Balancer, voir Configurer les paramètres de sécurité dans le Guide de l'utilisateur pour les Classic Load Balancers.

[ELB.9] L'équilibrage de charge entre zones doit être activé sur les équilibreurs de charge classiques

Exigences connexes : NIST.800-53.R5 CP-10, NIST.800-53.R5 CP-6 (2), NIST.800-53.R5 SC-36, NIST.800-53.R5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

Catégorie : Restauration > Résilience > Haute disponibilité

Gravité : Moyenne

Type de ressource : AWS::ElasticLoadBalancing::LoadBalancer

Règle AWS Config  : elb-cross-zone-load-balancing-enabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si l'équilibrage de charge entre zones est activé pour les équilibreurs de charge classiques (CLB). Le contrôle échoue si l'équilibrage de charge entre zones n'est pas activé pour un CLB.

Un nœud d'équilibrage de charge distribue le trafic uniquement entre les cibles enregistrées dans sa zone de disponibilité. Lorsque l'équilibrage de charge entre zones est désactivé, chaque nœud d'équilibreur de charge distribue le trafic entre les cibles enregistrées dans sa zone de disponibilité uniquement. Si le nombre de cibles enregistrées n'est pas le même dans toutes les zones de disponibilité, le trafic ne sera pas réparti uniformément et les instances d'une zone risquent d'être surutilisées par rapport aux instances d'une autre zone. Lorsque l'équilibrage de charge entre zones est activé, chaque nœud d'équilibreur de charge de votre Classic Load Balancer répartit les demandes de manière uniforme entre les instances enregistrées dans toutes les zones de disponibilité activées. Pour plus de détails, consultez la section sur l'équilibrage de charge entre zones dans le guide de l'utilisateur d'Elastic Load Balancing.

Correction

Pour activer l'équilibrage de charge entre zones dans un Classic Load Balancer, voir Activer l'équilibrage de charge entre zones dans le Guide de l'utilisateur des Classic Load Balancers.

[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité

Exigences connexes : NIST.800-53.R5 CP-10, NIST.800-53.R5 CP-6 (2), NIST.800-53.R5 SC-36, NIST.800-53.R5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

Catégorie : Restauration > Résilience > Haute disponibilité

Gravité : Moyenne

Type de ressource : AWS::ElasticLoadBalancing::LoadBalancer

Règle AWS Config  : clb-multiple-az

Type de calendrier : changement déclenché

Paramètres :

Paramètre Description Type Valeurs personnalisées autorisées Valeur par défaut de Security Hub

minAvailabilityZones

Nombre minimum de zones de disponibilité

Enum

2, 3, 4, 5, 6

2

Ce contrôle vérifie si un Classic Load Balancer a été configuré pour couvrir au moins le nombre spécifié de zones de disponibilité (AZ). Le contrôle échoue si le Classic Load Balancer ne couvre pas au moins le nombre de AZ spécifié. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour le nombre minimum de zones de disponibilité, Security Hub utilise une valeur par défaut de deux zones de disponibilité.

Un Classic Load Balancer peut être configuré pour répartir les demandes entrantes entre les instances Amazon EC2 au sein d'une seule zone de disponibilité ou de plusieurs zones de disponibilité. Un Classic Load Balancer qui ne couvre pas plusieurs zones de disponibilité ne peut pas rediriger le trafic vers des cibles situées dans une autre zone de disponibilité si la seule zone de disponibilité configurée devient indisponible.

Correction

Pour ajouter des zones de disponibilité à un Classic Load Balancer, voir Ajouter ou supprimer des sous-réseaux pour votre Classic Load Balancer dans le Guide de l'utilisateur des Classic Load Balancers.

[ELB.12] Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict

Exigences connexes : NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-2

Catégorie : Protéger > Protection des données > Intégrité des données

Gravité : Moyenne

Type de ressource : AWS::ElasticLoadBalancingV2::LoadBalancer

Règle AWS Config  : alb-desync-mode-check

Type de calendrier : changement déclenché

Paramètres :

  • desyncMode: defensive, strictest (non personnalisable)

Ce contrôle vérifie si un Application Load Balancer est configuré avec le mode défensif ou avec le mode d'atténuation de désynchronisation le plus strict. Le contrôle échoue si un Application Load Balancer n'est pas configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict.

Les problèmes de désynchronisation HTTP peuvent entraîner un trafic de demandes et rendre les applications vulnérables aux files d'attente de demandes ou à l'empoisonnement du cache. À leur tour, ces vulnérabilités peuvent entraîner un bourrage d'informations d'identification ou l'exécution de commandes non autorisées. Les équilibreurs de charge d'application configurés avec le mode défensif ou le mode d'atténuation de la désynchronisation le plus strict protègent votre application des problèmes de sécurité susceptibles d'être causés par la désynchronisation HTTP.

Correction

Pour mettre à jour le mode d'atténuation de la désynchronisation d'un Application Load Balancer, consultez la section Mode d'atténuation de désynchronisation dans le Guide de l'utilisateur des Application Load Balancers.

[ELB.13] Les équilibreurs de charge des applications, des réseaux et des passerelles doivent couvrir plusieurs zones de disponibilité

Exigences connexes : NIST.800-53.R5 CP-10, NIST.800-53.R5 CP-6 (2), NIST.800-53.R5 SC-36, NIST.800-53.R5 SC-5 (2), NIST.800-53.R5 SI-13 (5)

Catégorie : Restauration > Résilience > Haute disponibilité

Gravité : Moyenne

Type de ressource : AWS::ElasticLoadBalancingV2::LoadBalancer

Règle AWS Config  : elbv2-multiple-az

Type de calendrier : changement déclenché

Paramètres :

Paramètre Description Type Valeurs personnalisées autorisées Valeur par défaut de Security Hub

minAvailabilityZones

Nombre minimum de zones de disponibilité

Enum

2, 3, 4, 5, 6

2

Ce contrôle vérifie si un Elastic Load Balancer V2 (Application, Network ou Gateway Load Balancer) possède des instances enregistrées depuis au moins le nombre spécifié de zones de disponibilité (AZ). Le contrôle échoue si aucune instance d'un Elastic Load Balancer V2 n'est enregistrée dans au moins le nombre spécifié de AZ. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour le nombre minimum de zones de disponibilité, Security Hub utilise une valeur par défaut de deux zones de disponibilité.

Elastic Load Balancing distribue automatiquement votre trafic entrant sur plusieurs cibles (par exemple, des instances EC2, des conteneurs et des adresses IP) dans une ou plusieurs zones de disponibilité. Elastic Load Balancing met à l'échelle votre équilibreur de charge à mesure que votre trafic entrant change au fil du temps. Il est recommandé de configurer au moins deux zones de disponibilité pour garantir la disponibilité des services, car l'Elastic Load Balancer sera en mesure de diriger le trafic vers une autre zone de disponibilité en cas d'indisponibilité de l'une d'entre elles. La configuration de plusieurs zones de disponibilité permet d'éliminer le point de défaillance unique de l'application.

Correction

Pour ajouter une zone de disponibilité à un Application Load Balancer, consultez la section Zones de disponibilité de votre Application Load Balancer dans le Guide de l'utilisateur des Application Load Balancers. Pour ajouter une zone de disponibilité à un Network Load Balancer, consultez la section Network Load Balancers dans le Guide de l'utilisateur pour les Network Load Balancers. Pour ajouter une zone de disponibilité à un Gateway Load Balancer, voir Create a Gateway Load Balancer dans le Guide de l'utilisateur des Gateway Load Balancers.

[ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict

Exigences connexes : NIST.800-53.R5 AC-4 (21), NIST.800-53.R5 CA-9 (1), NIST.800-53.R5 CM-2

Catégorie : Protéger > Protection des données > Intégrité des données

Gravité : Moyenne

Type de ressource : AWS::ElasticLoadBalancing::LoadBalancer

Règle AWS Config  : clb-desync-mode-check

Type de calendrier : changement déclenché

Paramètres :

  • desyncMode: defensive, strictest (non personnalisable)

Ce contrôle vérifie si un Classic Load Balancer est configuré avec le mode défensif ou avec le mode d'atténuation de désynchronisation le plus strict. Le contrôle échoue si le Classic Load Balancer n'est pas configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict.

Les problèmes de désynchronisation HTTP peuvent entraîner un trafic de demandes et rendre les applications vulnérables aux files d'attente de demandes ou à l'empoisonnement du cache. À leur tour, ces vulnérabilités peuvent entraîner le détournement d'informations d'identification ou l'exécution de commandes non autorisées. Les équilibreurs de charge classiques configurés avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict protègent votre application des problèmes de sécurité susceptibles d'être causés par la désynchronisation HTTP.

Correction

Pour mettre à jour le mode d'atténuation de la désynchronisation sur un Classic Load Balancer, voir Modifier le mode d'atténuation de la désynchronisation dans le Guide de l'utilisateur des Classic Load Balancers.

[ELB.16] Les équilibreurs de charge d'application doivent être associés à une ACL Web AWS WAF

Exigences connexes : NIST.800-53.R5 AC-4 (21)

Catégorie : Protéger > Services de protection

Gravité : Moyenne

Type de ressource : AWS::ElasticLoadBalancingV2::LoadBalancer

Règle AWS Config  : alb-waf-enabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si un Application Load Balancer est associé à une liste de contrôle d'accès AWS WAF classique ou AWS WAF Web (ACL Web). Le contrôle échoue si le Enabled champ de AWS WAF configuration est défini surfalse.

AWS WAF est un pare-feu d'applications Web qui aide à protéger les applications Web et les API contre les attaques. Avec AWS WAF, vous pouvez configurer une ACL Web, qui est un ensemble de règles qui autorisent, bloquent ou comptent les requêtes Web sur la base de règles et de conditions de sécurité Web personnalisables que vous définissez. Nous vous recommandons d'associer votre Application Load Balancer à une ACL AWS WAF Web pour le protéger des attaques malveillantes.

Correction

Pour associer un Application Load Balancer à une ACL Web, consultez la section Associer ou dissocier une ACL Web à une AWS ressource dans le Guide du AWS WAF développeur.