Contrôles Security Hub pour Elastic Load Balancing - AWS Security Hub
[ELB.1] Application Load Balancer doit être configuré pour rediriger toutes les HTTP demandes vers HTTPS[ELB.2] Les équilibreurs de charge classiques avecSSL/HTTPSlisteners doivent utiliser un certificat fourni par AWS Certificate Manager[ELB.3] Les écouteurs Classic Load Balancer doivent être configurés avec ou sans arrêt HTTPS TLS[ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP non valides[ELB.5] La journalisation des applications et des équilibreurs de charge classiques doit être activée[ELB.6] La protection contre les suppressions doit être activée sur les équilibreurs de charge des applications, des passerelles et du réseau[ELB.7] Le drainage des connexions doit être activé sur les équilibreurs de charge classiques[ELB.8] Les équilibreurs de charge classiques avec SSL écouteurs doivent utiliser une politique de sécurité prédéfinie d'une durée élevée AWS Config[ELB.9] L'équilibrage de charge entre zones doit être activé sur les équilibreurs de charge classiques[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité[ELB.12] Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict[ELB.13] Les équilibreurs de charge des applications, du réseau et des passerelles doivent couvrir plusieurs zones de disponibilité[ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict[ELB.16] Les équilibreurs de charge des applications doivent être associés à un site Web AWS WAF ACL

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôles Security Hub pour Elastic Load Balancing

Ces AWS Security Hub contrôles évaluent le service et les ressources Elastic Load Balancing.

Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.

[ELB.1] Application Load Balancer doit être configuré pour rediriger toutes les HTTP demandes vers HTTPS

Exigences associées : PCI DSS v3.2.1/2.3, PCI DSS v3.2.1/4.1, NIST.800-53.r5 AC-1 7 (2), (1), 2 NIST.800-53.r5 IA-5 (3) NIST.800-53.r5 AC-4, 3, 3 (3), 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-8 .800-53.r5 NIST.800-53.r5 SC-8 SI-7 NIST.800-53.r5 SC-8 (6) NIST

Catégorie : Détecter - Services de détection

Gravité : Moyenne

Type de ressource : AWS::ElasticLoadBalancingV2::LoadBalancer

Règle AWS Config  : alb-http-to-https-redirection-check

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si HTTP la HTTPS redirection est configurée sur tous les HTTP écouteurs des équilibreurs de charge d'application. Le contrôle échoue si aucun des HTTP écouteurs des équilibreurs de charge d'application n'a pas HTTP à configurer de HTTPS redirection.

Avant de commencer à utiliser votre Application Load Balancer, vous devez ajouter un ou plusieurs écouteurs. Un écouteur est un processus qui utilise le protocole et le port configurés pour vérifier les demandes de connexion. Les écouteurs supportent à la fois les HTTPS protocoles HTTP et. Vous pouvez utiliser un HTTPS écouteur pour déléguer le travail de chiffrement et de déchiffrement à votre équilibreur de charge. Pour appliquer le chiffrement en transit, vous devez utiliser des actions de redirection avec les équilibreurs de charge d'application pour rediriger les HTTP demandes des clients vers une HTTPS demande sur le port 443.

Pour en savoir plus, consultez la section Écouteurs pour vos équilibreurs de charge d'application dans le Guide de l'utilisateur pour les équilibreurs de charge d'application.

Correction

Pour rediriger les HTTP demandes versHTTPS, vous devez ajouter une règle d'écoute Application Load Balancer ou modifier une règle existante.

Pour obtenir des instructions sur l'ajout d'une nouvelle règle, voir Ajouter une règle dans le Guide de l'utilisateur pour les équilibreurs de charge d'application. Pour Protocole : Port, choisissez HTTP, puis entrez80. Pour Ajouter une action, Rediriger vers HTTPS, choisissez, puis entrez443.

Pour obtenir des instructions sur la modification d'une règle existante, voir Modifier une règle dans le Guide de l'utilisateur des équilibreurs de charge d'application. Pour Protocole : Port, choisissez HTTP, puis entrez80. Pour Ajouter une action, Rediriger vers HTTPS, choisissez, puis entrez443.

[ELB.2] Les équilibreurs de charge classiques avecSSL/HTTPSlisteners doivent utiliser un certificat fourni par AWS Certificate Manager

Exigences connexes : NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-2 3 (5), (4), NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), NIST .800-53.r5 SI-7 (6)

Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit

Gravité : Moyenne

Type de ressource : AWS::ElasticLoadBalancing::LoadBalancer

Règle AWS Config  : elb-acm-certificate-required

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si le Classic Load Balancer utilise les SSL certificatsHTTPS/fournis par AWS Certificate Manager ()ACM. Le contrôle échoue si le Classic Load Balancer configuré avecHTTPS/SSLlistener n'utilise pas de certificat fourni par. ACM

Pour créer un certificat, vous pouvez utiliser l'un ACM ou l'autre outil compatible avec les TLS protocoles SSL and, tel qu'OpenSSL. Security Hub vous recommande de les utiliser ACM pour créer ou importer des certificats pour votre équilibreur de charge.

ACMs'intègre aux équilibreurs de charge classiques afin que vous puissiez déployer le certificat sur votre équilibreur de charge. Vous devez également renouveler automatiquement ces certificats.

Correction

Pour plus d'informations sur la façon d'associer un TLS certificat ACMSSL/à un Classic Load Balancer, consultez l'article du centre de AWS connaissances How can I associate an ACMSSL/TLScertificate with a Classic, Application ou Network Load Balancer ?

[ELB.3] Les écouteurs Classic Load Balancer doivent être configurés avec ou sans arrêt HTTPS TLS

Exigences connexes : NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 ( NIST.800-53.r5 SC-23), (4), NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), NIST .800-53.r5 SI-7 (6)

Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit

Gravité : Moyenne

Type de ressource : AWS::ElasticLoadBalancing::LoadBalancer

Règle AWS Config  : elb-tls-https-listeners-only

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si vos écouteurs Classic Load Balancer sont configurés avec un TLS protocole HTTPS ou un protocole pour les connexions frontales (client-équilibreur de charge). Le contrôle est applicable si un Classic Load Balancer possède des écouteurs. Si aucun écouteur n'est configuré sur votre Classic Load Balancer, le contrôle ne signale aucun résultat.

Le contrôle passe si les écouteurs Classic Load Balancer sont configurés avec TLS ou HTTPS pour des connexions frontales.

Le contrôle échoue si l'écouteur n'est pas configuré avec TLS ou HTTPS pour les connexions frontales.

Avant de commencer à utiliser un équilibreur de charge, vous devez ajouter un ou plusieurs écouteurs. Un écouteur est un processus qui utilise le protocole et le port configurés pour vérifier les demandes de connexion. Les écouteurs peuvent prendre en charge à la fois les TLS protocoles HTTP et HTTPS /. Vous devez toujours utiliser un TLS écouteur HTTPS OR, afin que l'équilibreur de charge effectue le chiffrement et le déchiffrement en transit.

Correction

Pour résoudre ce problème, mettez à jour vos écouteurs afin qu'ils utilisent le protocole TLS orHTTPS.

Pour remplacer tous les écouteurs non conformes par//listeners TLS HTTPS

  1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le volet de navigation, sous Équilibrage de charge, choisissez Équilibreurs de charge.

  3. Sélectionnez votre Classic Load Balancer.

  4. Sous l'onglet Listeners, choisissez Edit.

  5. Pour tous les écouteurs sur lesquels le protocole Load Balancer n'est pas défini sur HTTPS SSL ou, modifiez le paramètre HTTPS sur ou. SSL

  6. Pour tous les écouteurs modifiés, dans l'onglet Certificats, sélectionnez Modifier par défaut.

  7. Pour les IAMcertificats ACM et, sélectionnez un certificat.

  8. Choisissez Enregistrer par défaut.

  9. Après avoir mis à jour tous les écouteurs, choisissez Enregistrer.

[ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP non valides

Exigences connexes : NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-8 (2)

Catégorie : Protection > Sécurité du réseau

Gravité : Moyenne

Type de ressource : AWS::ElasticLoadBalancingV2::LoadBalancer

Règle AWS Config  : alb-http-drop-invalid-header-enabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle évalue si un Application Load Balancer est configuré pour supprimer HTTP les en-têtes non valides. Le contrôle échoue si la valeur de routing.http.drop_invalid_header_fields.enabled est définie surfalse.

Par défaut, les équilibreurs de charge d'application ne sont pas configurés pour supprimer les valeurs d'HTTPen-tête non valides. La suppression de ces valeurs d'en-tête empêche les HTTP attaques de désynchronisation.

Note

Nous vous recommandons de désactiver ce contrôle si la ELB version 1.2 est activée dans votre compte. Pour de plus amples informations, veuillez consulter [ELB.12] Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict.

Correction

Pour remédier à ce problème, configurez votre équilibreur de charge pour supprimer les champs d'en-tête non valides.

Pour configurer l'équilibreur de charge afin de supprimer les champs d'en-tête non valides

  1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le volet de navigation, choisissez Load Balancers (Équilibreurs de charge).

  3. Choisissez un Application Load Balancer.

  4. Dans Actions, sélectionnez Modifier les attributs.

  5. Sous Supprimer les champs d'en-tête non valides, sélectionnez Activer.

  6. Choisissez Save (Enregistrer).

[ELB.5] La journalisation des applications et des équilibreurs de charge classiques doit être activée

Exigences connexes : NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-7 (8)

Catégorie : Identifier - Journalisation

Gravité : Moyenne

Type de ressource :AWS::ElasticLoadBalancing::LoadBalancer, AWS::ElasticLoadBalancingV2::LoadBalancer

Règle AWS Config  : elb-logging-enabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si la journalisation est activée dans l'Application Load Balancer et le Classic Load Balancer. Le contrôle échoue si tel access_logs.s3.enabled est le casfalse.

Elastic Load Balancing fournit des journaux d'accès qui capturent des informations détaillées sur les demandes envoyées à votre équilibreur de charge. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. Vous pouvez utiliser ces journaux d'accès pour analyser les modèles de trafic et résoudre des problèmes.

Pour en savoir plus, consultez les journaux d'accès de votre Classic Load Balancer dans le guide de l'utilisateur pour les Classic Load Balancers.

Correction

Pour activer les journaux d'accès, reportez-vous à l'étape 3 : Configuration des journaux d'accès dans le Guide de l'utilisateur pour les équilibreurs de charge d'application.

[ELB.6] La protection contre les suppressions doit être activée sur les équilibreurs de charge des applications, des passerelles et du réseau

Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)

Catégorie : Restauration > Résilience > Haute disponibilité

Gravité : Moyenne

Type de ressource : AWS::ElasticLoadBalancingV2::LoadBalancer

Règle AWS Config  : elb-deletion-protection-enabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si la protection contre la suppression est activée pour une application, une passerelle ou un Network Load Balancer. Le contrôle échoue si la protection contre la suppression est désactivée.

Activez la protection contre la suppression pour empêcher la suppression de votre application, de votre passerelle ou de votre Network Load Balancer.

Correction

Pour éviter la suppression accidentelle de votre équilibreur de charge, vous pouvez activer la protection contre la suppression. Par défaut, la protection contre la suppression est désactivée pour votre équilibreur de charge.

Si vous activez la protection contre la suppression pour votre équilibreur de charge, vous devez désactiver la protection contre la suppression avant de pouvoir supprimer l'équilibreur de charge.

Pour activer la protection contre la suppression pour un Application Load Balancer, consultez la section Protection contre la suppression dans le Guide de l'utilisateur pour les Application Load Balancers. Pour activer la protection contre la suppression pour un Gateway Load Balancer, consultez la section Protection contre la suppression dans le Guide de l'utilisateur pour les Gateway Load Balancers. Pour activer la protection contre la suppression pour un Network Load Balancer, consultez la section Protection contre la suppression dans le Guide de l'utilisateur pour les Network Load Balancers.

[ELB.7] Le drainage des connexions doit être activé sur les équilibreurs de charge classiques

Exigences connexes : NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2

Catégorie : Récupération > Résilience

Gravité : Moyenne

Type de ressource : AWS::ElasticLoadBalancing::LoadBalancer

AWS Config règle : elb-connection-draining-enabled (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si le drainage des connexions est activé sur les équilibreurs de charge classiques.

L'activation du drainage des connexions sur les équilibreurs de charge classiques garantit que l'équilibreur de charge cesse d'envoyer des demandes aux instances dont l'enregistrement est annulé ou qui ne fonctionnent pas correctement. Cela permet de maintenir ouvertes les connexions existantes. Cela est particulièrement utile pour les instances des groupes Auto Scaling, afin de garantir que les connexions ne sont pas interrompues brusquement.

Correction

Pour activer le drainage des connexions sur les Classic Load Balancers, voir Configurer le drainage des connexions pour votre Classic Load Balancer dans le Guide de l'utilisateur pour les Classic Load Balancers.

[ELB.8] Les équilibreurs de charge classiques avec SSL écouteurs doivent utiliser une politique de sécurité prédéfinie d'une durée élevée AWS Config

Exigences connexes : NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 3 ( NIST.800-53.r5 SC-23), (4), NIST.800-53.r5 SC-7 (1) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2), NIST .800-53.r5 SI-7 (6)

Catégorie : Protéger > Protection des données > Chiffrement de data-in-transit

Gravité : Moyenne

Type de ressource : AWS::ElasticLoadBalancing::LoadBalancer

Règle AWS Config  : elb-predefined-security-policy-ssl-check

Type de calendrier : changement déclenché

Paramètres :

  • predefinedPolicyName: ELBSecurityPolicy-TLS-1-2-2017-01 (non personnalisable)

Ce contrôle vérifie si votre Classic Load HTTPS SSL Balancer/listeners utilise la politique prédéfinie. ELBSecurityPolicy-TLS-1-2-2017-01 Le contrôle échoue si le Classic Load BalancerHTTPS/SSLlisteners n'est pas utilisé. ELBSecurityPolicy-TLS-1-2-2017-01

Une politique de sécurité est une combinaison de SSL protocoles, de chiffrements et de l'option de préférence d'ordre du serveur. Des politiques prédéfinies contrôlent les chiffrements, les protocoles et les ordres de préférence à prendre en charge lors des SSL négociations entre un client et un équilibreur de charge.

L'utilisation ELBSecurityPolicy-TLS-1-2-2017-01 peut vous aider à respecter les normes de conformité et de sécurité qui vous obligent à désactiver des versions spécifiques de SSL etTLS. Pour plus d'informations, voir Politiques de SSL sécurité prédéfinies pour les équilibreurs de charge classiques dans le Guide de l'utilisateur pour les équilibreurs de charge classiques.

Correction

Pour plus d'informations sur l'utilisation de la politique de sécurité prédéfinie ELBSecurityPolicy-TLS-1-2-2017-01 avec un Classic Load Balancer, voir Configurer les paramètres de sécurité dans le Guide de l'utilisateur pour les Classic Load Balancers.

[ELB.9] L'équilibrage de charge entre zones doit être activé sur les équilibreurs de charge classiques

Exigences connexes : NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Catégorie : Restauration > Résilience > Haute disponibilité

Gravité : Moyenne

Type de ressource : AWS::ElasticLoadBalancing::LoadBalancer

Règle AWS Config  : elb-cross-zone-load-balancing-enabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si l'équilibrage de charge entre zones est activé pour les équilibreurs de charge classiques ()CLBs. Le contrôle échoue si l'équilibrage de charge entre zones n'est pas activé pour unCLB.

Un nœud d'équilibrage de charge distribue le trafic uniquement entre les cibles enregistrées dans sa zone de disponibilité. Lorsque l'équilibrage de charge entre zones est désactivé, chaque nœud d'équilibreur de charge distribue le trafic entre les cibles enregistrées dans sa zone de disponibilité uniquement. Si le nombre de cibles enregistrées n'est pas le même dans toutes les zones de disponibilité, le trafic ne sera pas réparti uniformément et les instances d'une zone risquent d'être surutilisées par rapport aux instances d'une autre zone. Lorsque l'équilibrage de charge entre zones est activé, chaque nœud d'équilibreur de charge de votre Classic Load Balancer répartit les demandes de manière uniforme entre les instances enregistrées dans toutes les zones de disponibilité activées. Pour plus de détails, consultez la section sur l'équilibrage de charge entre zones dans le guide de l'utilisateur d'Elastic Load Balancing.

Correction

Pour activer l'équilibrage de charge entre zones dans un Classic Load Balancer, voir Activer l'équilibrage de charge entre zones dans le Guide de l'utilisateur des Classic Load Balancers.

[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité

Exigences connexes : NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Catégorie : Restauration > Résilience > Haute disponibilité

Gravité : Moyenne

Type de ressource : AWS::ElasticLoadBalancing::LoadBalancer

Règle AWS Config  : clb-multiple-az

Type de calendrier : changement déclenché

Paramètres :

Paramètre Description Type Valeurs personnalisées autorisées Valeur par défaut de Security Hub

minAvailabilityZones

Nombre minimum de zones de disponibilité

Enum

2, 3, 4, 5, 6

2

Ce contrôle vérifie si un Classic Load Balancer a été configuré pour couvrir au moins le nombre spécifié de zones de disponibilité ()AZs. Le contrôle échoue si le Classic Load Balancer ne couvre pas au moins le nombre spécifié de. AZs À moins que vous ne fournissiez une valeur de paramètre personnalisée pour le nombre minimum deAZs, Security Hub utilise une valeur par défaut de deuxAZs.

Un Classic Load Balancer peut être configuré pour répartir les demandes entrantes entre les EC2 instances Amazon dans une ou plusieurs zones de disponibilité. Un Classic Load Balancer qui ne couvre pas plusieurs zones de disponibilité ne peut pas rediriger le trafic vers des cibles situées dans une autre zone de disponibilité si la seule zone de disponibilité configurée devient indisponible.

Correction

Pour ajouter des zones de disponibilité à un Classic Load Balancer, voir Ajouter ou supprimer des sous-réseaux pour votre Classic Load Balancer dans le Guide de l'utilisateur des Classic Load Balancers.

[ELB.12] Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict

Exigences connexes : NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2

Catégorie : Protéger > Protection des données > Intégrité des données

Gravité : Moyenne

Type de ressource : AWS::ElasticLoadBalancingV2::LoadBalancer

Règle AWS Config  : alb-desync-mode-check

Type de calendrier : changement déclenché

Paramètres :

  • desyncMode: defensive, strictest (non personnalisable)

Ce contrôle vérifie si un Application Load Balancer est configuré avec le mode défensif ou avec le mode d'atténuation de désynchronisation le plus strict. Le contrôle échoue si un Application Load Balancer n'est pas configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict.

HTTPLes problèmes de désynchronisation peuvent entraîner un trafic de demandes et rendre les applications vulnérables aux files d'attente de demandes ou à l'empoisonnement du cache. À leur tour, ces vulnérabilités peuvent entraîner un bourrage d'informations d'identification ou l'exécution de commandes non autorisées. Les équilibreurs de charge des applications configurés avec le mode défensif ou le mode d'atténuation de la désynchronisation le plus strict protègent votre application des problèmes de sécurité susceptibles d'être causés par la désynchronisation. HTTP

Correction

Pour mettre à jour le mode d'atténuation de la désynchronisation d'un Application Load Balancer, voir Mode d'atténuation de désynchronisation dans le Guide de l'utilisateur des Application Load Balancers.

[ELB.13] Les équilibreurs de charge des applications, du réseau et des passerelles doivent couvrir plusieurs zones de disponibilité

Exigences connexes : NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

Catégorie : Restauration > Résilience > Haute disponibilité

Gravité : Moyenne

Type de ressource : AWS::ElasticLoadBalancingV2::LoadBalancer

Règle AWS Config  : elbv2-multiple-az

Type de calendrier : changement déclenché

Paramètres :

Paramètre Description Type Valeurs personnalisées autorisées Valeur par défaut de Security Hub

minAvailabilityZones

Nombre minimum de zones de disponibilité

Enum

2, 3, 4, 5, 6

2

Ce contrôle vérifie si un Elastic Load Balancer V2 (Application, Network ou Gateway Load Balancer) possède des instances enregistrées depuis au moins le nombre spécifié de zones de disponibilité (). AZs Le contrôle échoue si un Elastic Load Balancer V2 ne possède pas d'instances enregistrées dans au moins le nombre spécifié de. AZs À moins que vous ne fournissiez une valeur de paramètre personnalisée pour le nombre minimum deAZs, Security Hub utilise une valeur par défaut de deuxAZs.

Elastic Load Balancing distribue automatiquement votre trafic entrant sur plusieurs cibles, telles que EC2 les instances, les conteneurs et les adresses IP, dans une ou plusieurs zones de disponibilité. Elastic Load Balancing met à l'échelle votre équilibreur de charge à mesure que votre trafic entrant change au fil du temps. Il est recommandé de configurer au moins deux zones de disponibilité pour garantir la disponibilité des services, car l'Elastic Load Balancer sera en mesure de diriger le trafic vers une autre zone de disponibilité en cas d'indisponibilité de l'une d'entre elles. La configuration de plusieurs zones de disponibilité permet d'éliminer le point de défaillance unique de l'application.

Correction

Pour ajouter une zone de disponibilité à un Application Load Balancer, consultez la section Zones de disponibilité de votre Application Load Balancer dans le Guide de l'utilisateur des Application Load Balancers. Pour ajouter une zone de disponibilité à un Network Load Balancer, consultez la section Network Load Balancers dans le Guide de l'utilisateur pour les Network Load Balancers. Pour ajouter une zone de disponibilité à un Gateway Load Balancer, voir Create a Gateway Load Balancer dans le Guide de l'utilisateur des Gateway Load Balancers.

[ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict

Exigences connexes : NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2

Catégorie : Protéger > Protection des données > Intégrité des données

Gravité : Moyenne

Type de ressource : AWS::ElasticLoadBalancing::LoadBalancer

Règle AWS Config  : clb-desync-mode-check

Type de calendrier : changement déclenché

Paramètres :

  • desyncMode: defensive, strictest (non personnalisable)

Ce contrôle vérifie si un Classic Load Balancer est configuré avec le mode défensif ou avec le mode d'atténuation de désynchronisation le plus strict. Le contrôle échoue si le Classic Load Balancer n'est pas configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict.

HTTPLes problèmes de désynchronisation peuvent entraîner un trafic de demandes et rendre les applications vulnérables aux files d'attente de demandes ou à l'empoisonnement du cache. Ces vulnérabilités peuvent à leur tour entraîner le détournement d'informations d'identification ou l'exécution de commandes non autorisées. Les équilibreurs de charge classiques configurés avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict protègent votre application des problèmes de sécurité susceptibles d'être causés par la désynchronisation. HTTP

Correction

Pour mettre à jour le mode d'atténuation de la désynchronisation sur un Classic Load Balancer, voir Modifier le mode d'atténuation de la désynchronisation dans le Guide de l'utilisateur des Classic Load Balancers.

[ELB.16] Les équilibreurs de charge des applications doivent être associés à un site Web AWS WAF ACL

Exigences connexes : NIST.800-53.r5 AC-4 (21)

Catégorie : Protéger > Services de protection

Gravité : Moyenne

Type de ressource : AWS::ElasticLoadBalancingV2::LoadBalancer

Règle AWS Config  : alb-waf-enabled

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si un Application Load Balancer est associé à une liste de contrôle d'accès AWS WAF classique ou AWS WAF Web (WebACL). Le contrôle échoue si le Enabled champ de AWS WAF configuration est défini surfalse.

AWS WAF est un pare-feu pour applications Web qui aide à protéger les applications Web APIs contre les attaques. Avec AWS WAF, vous pouvez configurer un site WebACL, qui est un ensemble de règles qui autorisent, bloquent ou comptent les requêtes Web en fonction de règles et de conditions de sécurité Web personnalisables que vous définissez. Nous vous recommandons d'associer votre Application Load Balancer à un AWS WAF site Web ACL pour le protéger des attaques malveillantes.

Correction

Pour associer un Application Load Balancer à un site WebACL, consultez la section Associer ou dissocier un site Web ACL à une AWS ressource dans le Guide du AWS WAF développeur.