Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Contrôles CSPM de Security Hub pour Elastic Load Balancing
Ces AWS Security Hub CSPM contrôles évaluent le service et les ressources Elastic Load Balancing. Il est possible que les commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter [Disponibilité des contrôles par région](securityhub-regions.md#securityhub-regions-control-support).
## [ELB.1] Application Load Balancer doit être configuré pour rediriger toutes les requêtes HTTP vers HTTPS
**Exigences associées :** PCI DSS v3.2.1/2.3, PCI DSS v3.2.1/4.1, NIST.800-53.r5 AC-1 7 (2), (1), 2 (3), 3 NIST.800-53.r5 AC-4, 3 NIST.800-53.r5 IA-5 (3), 3 (3), (4), NIST.800-53.r5 SC-1 (1), NIST.800-53.r5 SC-2 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6) NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8
**Catégorie :** Détecter - Services de détection
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancingV2::LoadBalancer`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html)
**Type de calendrier :** Périodique
**Paramètres :** Aucun
Ce contrôle vérifie si la redirection HTTP vers HTTPS est configurée sur tous les écouteurs HTTP des équilibreurs de charge d'application. Le contrôle échoue si la redirection HTTP vers HTTPS n'est pas configurée pour l'un des écouteurs HTTP des équilibreurs de charge d'application.
Avant de commencer à utiliser votre Application Load Balancer, vous devez ajouter un ou plusieurs écouteurs. Un écouteur est un processus qui utilise le protocole et le port configurés pour vérifier les demandes de connexion. Les écouteurs supportent à la fois les protocoles HTTP et HTTPS. Vous pouvez utiliser un écouteur HTTPS pour transférer le travail de chiffrement et de déchiffrement à votre équilibreur de charge. Pour appliquer le chiffrement en transit, vous devez utiliser des actions de redirection avec les équilibreurs de charge d'application pour rediriger les requêtes HTTP des clients vers une requête HTTPS sur le port 443.
Pour en savoir plus, consultez la section [Écouteurs pour vos équilibreurs de charge d'application dans le Guide de l'utilisateur pour les équilibreurs](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html) *de charge d'application*.
### Correction
Pour rediriger les requêtes HTTP vers HTTPS, vous devez ajouter une règle d'écoute Application Load Balancer ou modifier une règle existante.
Pour obtenir des instructions sur l'ajout d'une nouvelle règle, voir [Ajouter une règle](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-rules.html#add-rule) dans le *Guide de l'utilisateur pour les équilibreurs de charge d'application*. Pour **Protocole : Port**, choisissez **HTTP**, puis entrez**80**. Pour **Ajouter une action, Rediriger vers**, choisissez **HTTPS**, puis entrez**443**.
Pour obtenir des instructions sur la modification d'une règle existante, voir [Modifier une règle](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-rules.html#edit-rule) dans le *Guide de l'utilisateur des équilibreurs de charge d'application*. Pour **Protocole : Port**, choisissez **HTTP**, puis entrez**80**. Pour **Ajouter une action, Rediriger vers**, choisissez **HTTPS**, puis entrez**443**.
## [ELB.2] Les équilibreurs de charge classiques avec SSL/HTTPS écouteurs doivent utiliser un certificat fourni par AWS Certificate Manager
**Exigences connexes :** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 NIST.800-53.r5 IA-5 (3), 3, 3, NIST.800-53.r5 SC-1 3 (5), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6), NIST.800-171.R2 3.13.8
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancing::LoadBalancer`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elb-acm-certificate-required.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-acm-certificate-required.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le Classic Load Balancer utilise les HTTPS/SSL certificats fournis par AWS Certificate Manager (ACM). Le contrôle échoue si le Classic Load Balancer configuré avec un HTTPS/SSL écouteur n'utilise pas de certificat fourni par ACM.
Pour créer un certificat, vous pouvez utiliser ACM ou un outil compatible avec les protocoles SSL et TLS, comme OpenSSL. Security Hub CSPM vous recommande d'utiliser ACM pour créer ou importer des certificats pour votre équilibreur de charge.
ACM s'intègre aux équilibreurs de charge classiques afin que vous puissiez déployer le certificat sur votre équilibreur de charge. Vous devez également renouveler automatiquement ces certificats.
### Correction
Pour plus d'informations sur la façon d'associer un SSL/TLS certificat ACM à un Classic Load Balancer, consultez AWS l'[article du Knowledge Center How can I associate an SSL/TLS ACM certificate with a Classic, Application ou Network Load Balancer](https://aws.amazon.com/premiumsupport/knowledge-center/associate-acm-certificate-alb-nlb/) ?
## [ELB.3] Les écouteurs Classic Load Balancer doivent être configurés avec une terminaison HTTPS ou TLS
**Exigences connexes :** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, 2 NIST.800-53.r5 IA-5 (3), 3, 3 (3), NIST.800-53.r5 SC-1 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-2 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-7 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-171.R2 3.13.8, NIST.800-171.R2 3.13.15, PCI DSS v4.0.1/4.2.1
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancing::LoadBalancer`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elb-tls-https-listeners-only.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-tls-https-listeners-only.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si vos écouteurs Classic Load Balancer sont configurés avec le protocole HTTPS ou TLS pour les connexions frontales (client-équilibreur de charge). Le contrôle est applicable si un Classic Load Balancer possède des écouteurs. Si aucun écouteur n'est configuré sur votre Classic Load Balancer, le contrôle ne signale aucun résultat.
Le contrôle passe si les écouteurs Classic Load Balancer sont configurés avec TLS ou HTTPS pour les connexions frontales.
Le contrôle échoue si l'écouteur n'est pas configuré avec TLS ou HTTPS pour les connexions frontales.
Avant de commencer à utiliser un équilibreur de charge, vous devez ajouter un ou plusieurs écouteurs. Un écouteur est un processus qui utilise le protocole et le port configurés pour vérifier les demandes de connexion. Les écouteurs peuvent prendre en charge à la fois le protocole HTTP et les HTTPS/TLS protocoles. Vous devez toujours utiliser un écouteur HTTPS ou TLS, afin que l'équilibreur de charge effectue le chiffrement et le déchiffrement en transit.
### Correction
Pour remédier à ce problème, mettez à jour vos écouteurs afin qu'ils utilisent le protocole TLS ou HTTPS.
**Pour remplacer tous les écouteurs non conformes par des écouteurs TLS/HTTPS**
1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dans le volet de navigation, sous **Équilibrage de charge**, choisissez **Équilibreurs de charge**.
1. Sélectionnez votre Classic Load Balancer.
1. Sous l'onglet **Listeners**, choisissez **Edit**.
1. Pour tous les écouteurs pour lesquels le protocole **Load Balancer** n'est pas défini sur HTTPS ou SSL, modifiez le paramètre sur HTTPS ou SSL.
1. Pour tous les écouteurs modifiés, dans l'onglet **Certificats**, sélectionnez **Modifier par défaut**.
1. Pour **Certificats ACM et IAM**, sélectionnez un certificat.
1. Choisissez **Enregistrer par défaut**.
1. Après avoir mis à jour tous les écouteurs, choisissez **Enregistrer**.
## [ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP non valides
**Exigences associées :** NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-8 (2), PCI DSS v4.0.1/6.2.4
**Catégorie :** Protection > Sécurité du réseau
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancingV2::LoadBalancer`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/alb-http-drop-invalid-header-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-drop-invalid-header-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle évalue si un Application Load Balancer est configuré pour supprimer les en-têtes HTTP non valides. Le contrôle échoue si la valeur de `routing.http.drop_invalid_header_fields.enabled` est définie sur`false`.
Par défaut, les équilibreurs de charge d'application ne sont pas configurés pour supprimer les valeurs d'en-tête HTTP non valides. La suppression de ces valeurs d'en-tête empêche les attaques de désynchronisation HTTP.
**Note**
Nous vous recommandons de désactiver ce contrôle si ELB.12 est activé sur votre compte. Pour de plus amples informations, veuillez consulter [[ELB.12] Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict](#elb-12).
### Correction
Pour remédier à ce problème, configurez votre équilibreur de charge pour supprimer les champs d'en-tête non valides.
**Pour configurer l'équilibreur de charge afin de supprimer les champs d'en-tête non valides**
1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Dans le volet de navigation, choisissez **Load Balancers (Équilibreurs de charge)**.
1. Choisissez un Application Load Balancer.
1. Dans **Actions**, sélectionnez **Modifier les attributs**.
1. Sous Supprimer **les champs d'en-tête non valides**, sélectionnez **Activer**.
1. Choisissez **Enregistrer**.
## [ELB.5] La journalisation des applications et des équilibreurs de charge classiques doit être activée
**Exigences connexes :** NIST.800-53.r5 AC-4 (26), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.R5 SI-7 (8)
**Catégorie :** Identifier - Journalisation
**Gravité :** Moyenne
**Type de ressource :**`AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::LoadBalancer`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la journalisation est activée dans l'Application Load Balancer et le Classic Load Balancer. Le contrôle échoue si tel `access_logs.s3.enabled` est le cas`false`.
Elastic Load Balancing fournit des journaux d'accès qui capturent des informations détaillées sur les demandes envoyées à votre équilibreur de charge. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. Vous pouvez utiliser ces journaux d'accès pour analyser les modèles de trafic et résoudre des problèmes.
Pour en savoir plus, consultez les [journaux d'accès de votre Classic Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/access-log-collection.html) dans le *guide de l'utilisateur pour les Classic Load* Balancers.
### Correction
Pour activer les journaux d'accès, reportez-vous à l'[étape 3 : Configuration des journaux d'accès](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/enable-access-logging.html#enable-access-logs) dans le *Guide de l'utilisateur pour les équilibreurs de charge d'application*.
## [ELB.6] La protection contre les suppressions doit être activée sur les équilibreurs de charge des applications, des passerelles et du réseau
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5 (2)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancingV2::LoadBalancer`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elb-deletion-protection-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-deletion-protection-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si la protection contre les suppressions est activée pour une application, une passerelle ou un Network Load Balancer. Le contrôle échoue si la protection contre la suppression est désactivée.
Activez la protection contre la suppression pour empêcher la suppression de votre application, de votre passerelle ou de votre Network Load Balancer.
### Correction
Pour éviter la suppression accidentelle de votre équilibreur de charge, vous pouvez activer la protection contre la suppression. Par défaut, la protection contre la suppression est désactivée pour votre équilibreur de charge.
Si vous activez la protection contre la suppression pour votre équilibreur de charge, vous devez désactiver la protection contre la suppression avant de pouvoir supprimer l'équilibreur de charge.
Pour activer la protection contre la suppression pour un Application Load Balancer, consultez la section [Protection contre la suppression](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancers.html#deletion-protection) dans le *Guide de l'utilisateur pour les Application Load* Balancers. Pour activer la protection contre la suppression pour un Gateway Load Balancer, consultez la section [Protection contre la suppression](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/gateway-load-balancers.html#deletion-protection) dans le *Guide de l'utilisateur pour les Gateway Load* Balancers. Pour activer la protection contre la suppression pour un Network Load Balancer, consultez la section [Protection contre la suppression](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancers.html#deletion-protection) dans le *Guide de l'utilisateur pour les Network Load* Balancers.
## [ELB.7] Le drainage des connexions doit être activé sur les équilibreurs de charge classiques
**Exigences connexes :** NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2
**Catégorie :** Récupération > Résilience
**Gravité : ** Faible
**Type de ressource :** `AWS::ElasticLoadBalancing::LoadBalancer`
**AWS Config règle :** `elb-connection-draining-enabled` (règle CSPM personnalisée de Security Hub)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le drainage des connexions est activé sur les équilibreurs de charge classiques.
L'activation du drainage des connexions sur les équilibreurs de charge classiques garantit que l'équilibreur de charge cesse d'envoyer des demandes aux instances dont l'enregistrement est annulé ou qui ne fonctionnent pas correctement. Cela permet de maintenir ouvertes les connexions existantes. Cela est particulièrement utile pour les instances des groupes Auto Scaling, afin de garantir que les connexions ne sont pas interrompues brusquement.
### Correction
Pour activer le drainage des connexions sur les Classic Load Balancers, voir [Configurer le drainage des connexions pour votre Classic Load Balancer *dans le Guide de l'utilisateur* pour les Classic Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/config-conn-drain.html) Balancers.
## [ELB.8] Les équilibreurs de charge classiques dotés d'écouteurs SSL doivent utiliser une politique de sécurité prédéfinie d'une durée élevée AWS Config
**Exigences connexes :** NIST.800-53.r5 AC-1 7 (2), (1) NIST.800-53.r5 AC-4, 2 NIST.800-53.r5 IA-5 (3), 3, 3 (3), NIST.800-53.r5 SC-1 (4), NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-2 ( NIST.800-53.r5 SC-12), NIST.800-53.r5 SC-7 NIST.800-53.R5 SI-7 NIST.800-53.r5 SC-8 (6) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST.800-171.R2 3.13.8, NIST.800-171.R2 3.13.15, PCI DSS v4.0.1/4.2.1
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancing::LoadBalancer`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elb-predefined-security-policy-ssl-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-predefined-security-policy-ssl-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `predefinedPolicyName`: `ELBSecurityPolicy-TLS-1-2-2017-01` (non personnalisable)
Ce contrôle vérifie si vos HTTPS/SSL écouteurs Classic Load Balancer utilisent la politique prédéfinie. `ELBSecurityPolicy-TLS-1-2-2017-01` Le contrôle échoue si les HTTPS/SSL écouteurs Classic Load Balancer ne sont pas utilisés. `ELBSecurityPolicy-TLS-1-2-2017-01`
Une politique de sécurité est une combinaison de protocoles SSL, de chiffrements et de l'option de préférence d'ordre du serveur. Des politiques prédéfinies contrôlent les chiffrements, les protocoles et les ordres de préférence à prendre en charge lors des négociations SSL entre un client et un équilibreur de charge.
L'utilisation `ELBSecurityPolicy-TLS-1-2-2017-01` peut vous aider à respecter les normes de conformité et de sécurité qui vous obligent à désactiver des versions spécifiques de SSL et TLS. Pour plus d'informations, voir [Politiques de sécurité SSL prédéfinies pour les équilibreurs de charge classiques dans le Guide de l'utilisateur pour les équilibreurs](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-policy-table.html) *de charge classiques*.
### Correction
Pour plus d'informations sur l'utilisation de la politique de sécurité prédéfinie `ELBSecurityPolicy-TLS-1-2-2017-01` avec un Classic Load Balancer, voir [Configurer les paramètres de sécurité](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-create-https-ssl-load-balancer.html#config-backend-auth) dans le *Guide de l'utilisateur pour les Classic Load* Balancers.
## [ELB.9] L'équilibrage de charge entre zones doit être activé sur les équilibreurs de charge classiques
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancing::LoadBalancer`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elb-cross-zone-load-balancing-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/elb-cross-zone-load-balancing-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si l'équilibrage de charge entre zones est activé pour les équilibreurs de charge classiques ()CLBs. Le contrôle échoue si l'équilibrage de charge entre zones n'est pas activé pour un CLB.
Un nœud d'équilibrage de charge distribue le trafic uniquement entre les cibles enregistrées dans sa zone de disponibilité. Lorsque l'équilibrage de charge entre zones est désactivé, chaque nœud d'équilibreur de charge distribue le trafic entre les cibles enregistrées dans sa zone de disponibilité uniquement. Si le nombre de cibles enregistrées n'est pas le même dans toutes les zones de disponibilité, le trafic ne sera pas réparti uniformément et les instances d'une zone risquent d'être surutilisées par rapport aux instances d'une autre zone. Lorsque l'équilibrage de charge entre zones est activé, chaque nœud d'équilibreur de charge de votre Classic Load Balancer répartit les demandes de manière uniforme entre les instances enregistrées dans toutes les zones de disponibilité activées. Pour plus de détails, consultez la [section sur l'équilibrage de charge entre zones](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/how-elastic-load-balancing-works.html#cross-zone-load-balancing) dans le guide de l'utilisateur d'Elastic Load Balancing.
### Correction
Pour activer l'équilibrage de charge entre zones dans un Classic Load Balancer, [voir Activer l'équilibrage de charge entre zones dans *le Guide de l'utilisateur* des Classic Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/enable-disable-crosszone-lb.html#enable-cross-zone) Balancers.
## [ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancing::LoadBalancer`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/clb-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/clb-multiple-az.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `minAvailabilityZones` | Nombre minimum de zones de disponibilité | Enum | `2, 3, 4, 5, 6` | `2` |
Ce contrôle vérifie si un Classic Load Balancer a été configuré pour couvrir au moins le nombre spécifié de zones de disponibilité ()AZs. Le contrôle échoue si le Classic Load Balancer ne couvre pas au moins le nombre spécifié de. AZs À moins que vous ne fournissiez une valeur de paramètre personnalisée pour le nombre minimum de AZs, Security Hub CSPM utilise une valeur par défaut de deux. AZs
Un Classic Load Balancer peut être configuré pour répartir les demandes entrantes entre les instances Amazon EC2 au sein d'une seule zone de disponibilité ou de plusieurs zones de disponibilité. Un Classic Load Balancer qui ne couvre pas plusieurs zones de disponibilité ne peut pas rediriger le trafic vers des cibles situées dans une autre zone de disponibilité si la seule zone de disponibilité configurée devient indisponible.
### Correction
Pour ajouter des zones de disponibilité à un Classic Load Balancer, consultez la section [Ajouter ou supprimer des sous-réseaux pour votre Classic Load Balancer dans *le Guide de l'utilisateur* des Classic Load](https://docs.aws.amazon.com//elasticloadbalancing/latest/classic/elb-manage-subnets.html) Balancers.
## [ELB.12] Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict
**Exigences connexes :** NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, PCI DSS v4.0.1/6.2.4
**Catégorie :** Protéger > Protection des données > Intégrité des données
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancingV2::LoadBalancer`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/alb-desync-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-desync-mode-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `desyncMode`: `defensive, strictest` (non personnalisable)
Ce contrôle vérifie si un Application Load Balancer est configuré avec le mode défensif ou avec le mode d'atténuation de désynchronisation le plus strict. Le contrôle échoue si un Application Load Balancer n'est pas configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict.
Les problèmes de désynchronisation HTTP peuvent entraîner un trafic de demandes et rendre les applications vulnérables aux files d'attente de demandes ou à l'empoisonnement du cache. À leur tour, ces vulnérabilités peuvent entraîner un bourrage d'informations d'identification ou l'exécution de commandes non autorisées. Les équilibreurs de charge des applications configurés avec le mode défensif ou le mode d'atténuation de la désynchronisation le plus strict protègent votre application des problèmes de sécurité susceptibles d'être causés par la désynchronisation HTTP.
### Correction
Pour mettre à jour le mode d'atténuation de la désynchronisation d'un Application Load Balancer, [consultez la section Mode d'atténuation de désynchronisation](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/application-load-balancers.html#desync-mitigation-mode) dans le Guide de *l'utilisateur pour les* Application Load Balancers.
## [ELB.13] Les équilibreurs de charge des applications, des réseaux et des passerelles doivent couvrir plusieurs zones de disponibilité
**Exigences connexes :** NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST.800-53.R5 SI-13 (5)
**Catégorie : Restauration** > Résilience > Haute disponibilité
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancingV2::LoadBalancer`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-multiple-az.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-multiple-az.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut du Security Hub CSPM |
| --- | --- | --- | --- | --- |
| `minAvailabilityZones` | Nombre minimum de zones de disponibilité | Enum | `2, 3, 4, 5, 6` | `2` |
Ce contrôle vérifie si un Elastic Load Balancer V2 (Application, Network ou Gateway Load Balancer) possède des instances enregistrées depuis au moins le nombre spécifié de zones de disponibilité (). AZs Le contrôle échoue si un Elastic Load Balancer V2 ne possède pas d'instances enregistrées dans au moins le nombre spécifié de. AZs À moins que vous ne fournissiez une valeur de paramètre personnalisée pour le nombre minimum de AZs, Security Hub CSPM utilise une valeur par défaut de deux. AZs
Elastic Load Balancing distribue automatiquement votre trafic entrant sur plusieurs cibles (par exemple, des instances EC2, des conteneurs et des adresses IP) dans une ou plusieurs zones de disponibilité. Elastic Load Balancing met à l'échelle votre équilibreur de charge à mesure que votre trafic entrant change au fil du temps. Il est recommandé de configurer au moins deux zones de disponibilité pour garantir la disponibilité des services, car l'Elastic Load Balancer sera en mesure de diriger le trafic vers une autre zone de disponibilité en cas d'indisponibilité de l'une d'entre elles. La configuration de plusieurs zones de disponibilité permet d'éliminer le point de défaillance unique de l'application.
### Correction
Pour ajouter une zone de disponibilité à un Application Load Balancer, consultez [la section Zones de disponibilité de votre Application Load](https://docs.aws.amazon.com//elasticloadbalancing/latest/application/load-balancer-subnets.html) Balancer dans *le Guide de l'utilisateur* des Application Load Balancers. Pour ajouter une zone de disponibilité à un Network Load Balancer, consultez la section [Network Load Balancers](https://docs.aws.amazon.com//elasticloadbalancing/latest/network/network-load-balancers.html#availability-zones) dans le *Guide de l'utilisateur pour les Network* Load Balancers. Pour ajouter une zone de disponibilité à un Gateway Load Balancer, voir [Create a Gateway Load Balancer](https://docs.aws.amazon.com//elasticloadbalancing/latest/gateway/create-load-balancer.html) dans *le Guide de l'utilisateur* des Gateway Load Balancers.
## [ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict
**Exigences connexes :** NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIST.800-53.R5 CM-2, PCI DSS v4.0.1/6.2.4
**Catégorie :** Protéger > Protection des données > Intégrité des données
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancing::LoadBalancer`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/clb-desync-mode-check.html](https://docs.aws.amazon.com/config/latest/developerguide/clb-desync-mode-check.html)
**Type de calendrier :** changement déclenché
**Paramètres :**
+ `desyncMode`: `defensive, strictest` (non personnalisable)
Ce contrôle vérifie si un Classic Load Balancer est configuré avec le mode défensif ou avec le mode d'atténuation de désynchronisation le plus strict. Le contrôle échoue si le Classic Load Balancer n'est pas configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict.
Les problèmes de désynchronisation HTTP peuvent entraîner un trafic de demandes et rendre les applications vulnérables aux files d'attente de demandes ou à l'empoisonnement du cache. À leur tour, ces vulnérabilités peuvent entraîner le détournement d'informations d'identification ou l'exécution de commandes non autorisées. Les équilibreurs de charge classiques configurés avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict protègent votre application des problèmes de sécurité susceptibles d'être causés par la désynchronisation HTTP.
### Correction
Pour mettre à jour le mode d'atténuation de la désynchronisation sur un Classic Load Balancer, [voir Modifier le mode d'atténuation de la désynchronisation dans *le Guide de l'utilisateur* des Classic](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/config-desync-mitigation-mode.html#update-desync-mitigation-mode) Load Balancers.
## [ELB.16] Les équilibreurs de charge d'application doivent être associés à une ACL Web AWS WAF
**Exigences connexes :** NIST.800-53.r5 AC-4 (21)
**Catégorie :** Protéger > Services de protection
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancingV2::LoadBalancer`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/alb-waf-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/alb-waf-enabled.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un Application Load Balancer est associé à une liste de contrôle d'accès AWS WAF classique ou AWS WAF Web (ACL Web). Le contrôle échoue si le `Enabled` champ de AWS WAF configuration est défini sur`false`.
AWS WAF est un pare-feu pour applications Web qui aide à protéger les applications Web APIs contre les attaques. Avec AWS WAF, vous pouvez configurer une ACL Web, qui est un ensemble de règles qui autorisent, bloquent ou comptent les requêtes Web sur la base de règles et de conditions de sécurité Web personnalisables que vous définissez. Nous vous recommandons d'associer votre Application Load Balancer à une ACL AWS WAF Web pour le protéger des attaques malveillantes.
### Correction
*Pour associer un Application Load Balancer à une ACL Web, consultez la section [Associer ou dissocier une ACL Web à une AWS ressource](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-associating-aws-resource.html) dans le Guide du AWS WAF développeur.*
## [ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées
**Exigences connexes :** NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3, 3 ( NIST.800-53.r5 SC-23), NIST.800-53.r5 SC-2 (4), NIST.800-53.r5 SC-7 (1), NIST.800-53.r5 SC-8 NIST.800-53.r5 SC-8 (2) NIST.800-53.r5 SC-8, NIST.800-53.R5 SI-7 (6)
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancingV2::Listener`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-predefined-security-policy-ssl-check.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-predefined-security-policy-ssl-check.html)
**Type de calendrier :** changement déclenché
**Paramètres `sslPolicies` :** `ELBSecurityPolicy-TLS13-1-2-2021-06, ELBSecurityPolicy-TLS13-1-2-FIPS-2023-04, ELBSecurityPolicy-TLS13-1-3-2021-06, ELBSecurityPolicy-TLS13-1-3-FIPS-2023-04, ELBSecurityPolicy-TLS13-1-2-Res-2021-06, ELBSecurityPolicy-TLS13-1-2-Res-FIPS-2023-04` (non personnalisable)
Ce contrôle vérifie si l'écouteur HTTPS d'un Application Load Balancer ou l'écouteur TLS d'un Network Load Balancer est configuré pour chiffrer les données en transit en utilisant une politique de sécurité recommandée. Le contrôle échoue si l'écouteur HTTPS ou TLS d'un équilibreur de charge n'est pas configuré pour utiliser une politique de sécurité recommandée.
Elastic Load Balancing utilise une configuration de négociation SSL, connue sous le nom *de politique de sécurité*, pour négocier les connexions entre un client et un équilibreur de charge. La politique de sécurité définit une combinaison de protocoles et de chiffrements. Le protocole établit une connexion sécurisée entre un client et un serveur. Un chiffrement est un algorithme de chiffrement qui utilise des clés de chiffrement pour créer un message codé. Pendant le processus de négociation de connexion , le client et l'équilibreur de charge présentent une liste de chiffrements et de protocoles pris en charge par chacun d'entre eux dans l'ordre de préférence. L'utilisation d'une politique de sécurité recommandée pour un équilibreur de charge peut vous aider à respecter les normes de conformité et de sécurité.
### Correction
Pour plus d'informations sur les politiques de sécurité recommandées et sur la manière de mettre à jour les écouteurs, consultez les sections suivantes des *guides de l'utilisateur d'Elastic Load Balancing* [: politiques de sécurité pour les équilibreurs de charge d'application, politiques de sécurité pour les équilibreurs](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/describe-ssl-policies.html) [de charge réseau](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/describe-ssl-policies.html), [mise à jour d'un écouteur HTTPS pour votre Application Load Balancer et [Mettre à jour un écouteur pour votre](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/listener-update-rules.html) Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-update-certificates.html).
## [ELB.18] Les auditeurs d'applications et de Network Load Balancer doivent utiliser des protocoles sécurisés pour chiffrer les données en transit
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancingV2::Listener`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-listener-encryption-in-transit.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-listener-encryption-in-transit.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si l'écouteur d'un Application Load Balancer ou d'un Network Load Balancer est configuré pour utiliser un protocole sécurisé pour le chiffrement des données en transit. Le contrôle échoue si un écouteur Application Load Balancer n'est pas configuré pour utiliser le protocole HTTPS ou si aucun écouteur Network Load Balancer n'est configuré pour utiliser le protocole TLS.
Pour chiffrer les données transmises entre un client et un équilibreur de charge, les écouteurs Elastic Load Balancer doivent être configurés de manière à utiliser les protocoles de sécurité standard du secteur : HTTPS pour les équilibreurs de charge d'application ou TLS pour les équilibreurs de charge réseau. Dans le cas contraire, les données transmises entre un client et un équilibreur de charge sont vulnérables à l'interception, à la falsification et à l'accès non autorisé. L'utilisation du protocole HTTPS ou du protocole TLS par un auditeur est conforme aux meilleures pratiques en matière de sécurité et contribue à garantir la confidentialité et l'intégrité des données lors de leur transmission. Cela est particulièrement important pour les applications qui traitent des informations sensibles ou qui doivent se conformer aux normes de sécurité qui exigent le chiffrement des données en transit.
### Correction
Pour plus d'informations sur la configuration des protocoles de sécurité pour les écouteurs, consultez les sections suivantes des *guides de l'utilisateur d'Elastic Load Balancing* : [créer un écouteur HTTPS pour votre Application Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html) Balancer [et créer un écouteur pour votre Network Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-listener.html) Balancer.
## [ELB.21] Les groupes cibles d'applications et de Network Load Balancer doivent utiliser des protocoles de contrôle de santé cryptés
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancingV2::TargetGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-healthcheck-protocol-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-healthcheck-protocol-encrypted.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si le groupe cible pour les contrôles de santé des applications et des équilibreurs de charge réseau utilise un protocole de transport crypté. Le contrôle échoue si le protocole de vérification de l'état n'utilise pas le protocole HTTPS. Ce contrôle n'est pas applicable aux types de cibles Lambda.
Les équilibreurs de charge envoient des demandes de contrôle de santé aux cibles enregistrées afin de déterminer leur statut et d'acheminer le trafic en conséquence. Le protocole de vérification de l'état spécifié dans la configuration du groupe cible détermine la manière dont ces contrôles sont effectués. Lorsque les protocoles de contrôle de santé utilisent des communications non cryptées telles que le protocole HTTP, les demandes et les réponses peuvent être interceptées ou manipulées pendant la transmission. Cela permet aux attaquants d'obtenir des informations sur la configuration de l'infrastructure, d'altérer les résultats des bilans de santé ou de mener des man-in-the-middle attaques qui affectent les décisions de routage. L'utilisation du protocole HTTPS pour les bilans de santé fournit une communication cryptée entre l'équilibreur de charge et ses cibles, protégeant ainsi l'intégrité et la confidentialité des informations relatives à l'état de santé.
### Correction
Pour configurer des contrôles de santé chiffrés pour votre groupe cible Application Load Balancer, consultez la section [Mettre à jour les paramètres de contrôle de santé d'un groupe cible Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/modify-health-check-settings.html) dans le guide de l'utilisateur d'*Elastic Load Balancing*. Pour configurer des contrôles de santé chiffrés pour votre groupe cible Network Load Balancer, consultez la section [Mettre à jour les paramètres de contrôle de santé d'un groupe cible Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/modify-health-check-settings.html) dans le guide de l'utilisateur d'*Elastic Load Balancing*.
## [ELB.22] Les groupes cibles de l'ELB doivent utiliser des protocoles de transport cryptés
**Catégorie :** Protéger > Protection des données > Chiffrement de data-in-transit
**Gravité :** Moyenne
**Type de ressource :** `AWS::ElasticLoadBalancingV2::TargetGroup`
**Règle AWS Config :** [https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-protocol-encrypted.html](https://docs.aws.amazon.com/config/latest/developerguide/elbv2-targetgroup-protocol-encrypted.html)
**Type de calendrier :** changement déclenché
**Paramètres :** Aucun
Ce contrôle vérifie si un groupe cible Elastic Load Balancing utilise un protocole de transport crypté. Ce contrôle ne s'applique pas aux groupes cibles dotés d'un type de cible Lambda ou ALB, ni aux groupes cibles utilisant le protocole GENEVE. Le contrôle échoue si le groupe cible n'utilise pas le protocole HTTPS, TLS ou QUIC.
Le chiffrement des données en transit les protège contre toute interception par des utilisateurs non autorisés. Les groupes cibles qui utilisent des protocoles non chiffrés (HTTP, TCP, UDP) transmettent des données sans chiffrement, ce qui les rend vulnérables aux écoutes. L'utilisation de protocoles cryptés (HTTPS, TLS, QUIC) garantit la protection des données transmises entre les équilibreurs de charge et les cibles.
### Correction
Pour utiliser un protocole chiffré, vous devez créer un nouveau groupe cible avec le protocole HTTPS, TLS ou QUIC. Le protocole du groupe cible ne peut pas être modifié après sa création. Pour créer un groupe cible Application Load Balancer, consultez la section [Création d'un groupe cible pour votre Application Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-target-group.html) Balancer dans le guide de l'utilisateur d'*Elastic Load Balancing*. Pour créer un groupe cible Network Load Balancer, consultez la section [Créer un groupe cible pour votre Network Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-target-group.html) Balancer dans le guide de l'utilisateur d'*Elastic Load Balancing*.