Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWSNorme relative aux meilleures pratiques de sécurité fondamentales dans Security Hub CSPM
Développée par AWS des professionnels du secteur, la norme AWS Foundational Security Best Practices (FSBP) est une compilation des meilleures pratiques de sécurité destinées aux entreprises, quels que soient leur secteur ou leur taille. Il fournit un ensemble de contrôles qui détectent quand Comptes AWS et quand les ressources s'écartent des meilleures pratiques en matière de sécurité. Il fournit également des conseils prescriptifs sur la manière d'améliorer et de maintenir le niveau de sécurité de votre organisation.
Dans AWS Security Hub CSPM, la norme des meilleures pratiques de sécurité AWS fondamentales inclut des contrôles qui évaluent en permanence votre charge de travail Comptes AWS et vous aident à identifier les domaines qui s'écartent des meilleures pratiques en matière de sécurité. Les contrôles incluent les meilleures pratiques de sécurité pour les ressources provenant de plusieurs sourcesServices AWS. Chaque contrôle se voit attribuer une catégorie qui reflète la fonction de sécurité à laquelle le contrôle s'applique. Pour obtenir la liste des catégories et des informations supplémentaires, consultezCatégories de contrôle.
Contrôles applicables à la norme
La liste suivante indique quels contrôles AWS Security Hub CSPM s'appliquent à la norme AWS Foundational Security Best Practices (v1.0.0). Pour consulter les détails d'un contrôle, choisissez-le.
[Account.1] Les coordonnées de sécurité doivent être fournies pourCompte AWS
[ACM.1] Importé et ACM-issued les certificats doivent être renouvelés après une période spécifiée
[ACM.2] Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits
[APIGateway.3] Les stages de l'API REST API Gateway doivent avoirAWS X-Raysuivi activé
[APIGateway.4] API Gateway doit être associée à une ACL Web WAF
[APIGateway.5] Les données du cache de l'API REST API Gateway doivent être chiffrées au repos
[APIGateway.8] Les routes API Gateway doivent spécifier un type d'autorisation
[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2
[AppSync.1]AWS AppSyncLes caches d'API doivent être chiffrés au repos
[AppSync.2]AWS AppSyncla journalisation au niveau du champ doit être activée
[AppSync.5]AWS AppSyncLes API GraphQL ne doivent pas être authentifiées avec des clés d'API
[AppSync.6]AWS AppSyncLes caches d'API doivent être chiffrés pendant le transport
[Athena.4] La journalisation des groupes de travail Athena doit être activée
[AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité
[Backup.1]AWS Backuples points de récupération doivent être chiffrés au repos
[CloudFormation.4] les CloudFormation piles doivent avoir des rôles de service associés
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement en transit
[CloudFront.4] le basculement d'origine doit être configuré pour les CloudFront distributions
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
[CloudFront.6] WAF doit être activé sur les CloudFront distributions
[CloudFront.7] CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés
[CloudFront.8] CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
[CloudFront.13] CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine
[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé
[CloudTrail.4] la validation du fichier CloudTrail journal doit être activée
[CloudTrail.5] les CloudTrail sentiers doivent être intégrés à Amazon CloudWatch Logs
[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés
[CodeBuild.4] les environnements de CodeBuild projet doivent avoir une journalisationAWS Configdurée
[CodeBuild.7] les exportations de groupes de CodeBuild rapports doivent être cryptées au repos
[Cognito.2] Les pools d'identités Cognito ne doivent pas autoriser les identités non authentifiées
[Cognito.5] La MFA doit être activée pour les groupes d'utilisateurs de Cognito
[Connect.2] La CloudWatch journalisation des instances Connect Customer doit être activée
[DataFirehose.1] Les flux de diffusion de Firehose doivent être chiffrés au repos
[DataSync.1] la journalisation des DataSync tâches doit être activée
[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques
[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL
[DMS.12] TLS doit être activé sur les points de terminaison DMS pour Redis OSS
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
[DocumentDB.5] La protection contre la suppression des clusters Amazon DocumentDB doit être activée
[DocumentDB.6] Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport
[DynamoDB.1] Les tables DynamoDB doivent automatiquement adapter la capacité à la demande
[DynamoDB.2] La restauration instantanée des tables DynamoDB doit être activée
[DynamoDB.3] Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos
[DynamoDB.6] La protection contre la suppression des tables DynamoDB doit être activée
[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit
[EC2.2] Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant
[EC2.3] Les volumes Amazon EBS joints doivent être chiffrés au repos
[EC2.4] Les instances EC2 arrêtées doivent être supprimées après une période spécifiée
[EC2.6] La journalisation des flux VPC doit être activée dans tous les VPC
[EC2.7] Le chiffrement par défaut d'EBS doit être activé
[EC2.8] Les instances EC2 doivent utiliser le service de métadonnées d'instance version 2 (IMDSv2)
[EC2.9] Les instances Amazon EC2 ne doivent pas avoir d'adresse IPv4 publique
[EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées
[EC2.17] Les instances Amazon EC2 ne doivent pas utiliser plusieurs ENI
[EC2.20] Les deux tunnels VPN pour unAWSSite-to-Site La connexion VPN devrait être active
[EC2.24] Les types d'instances paravirtuelles Amazon EC2 ne doivent pas être utilisés
[EC2.55] Les VPC doivent être configurés avec un point de terminaison d'interface pour l'API ECR
[EC2.171] La journalisation des connexions VPN EC2 doit être activée
[EC2.180] La source/destination vérification doit être activée sur les interfaces réseau EC2
[EC2.181] Les modèles de lancement EC2 doivent activer le chiffrement pour les volumes EBS attachés
[EC2.183] Les connexions VPN EC2 doivent utiliser le protocole IKEv2
[ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR
[ECR.2] L'immuabilité des balises doit être configurée dans les référentiels privés ECR
[ECR.3] Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée
[ECS.2] Aucune adresse IP publique ne doit être attribuée automatiquement aux services ECS
[ECS.4] Les conteneurs ECS doivent fonctionner comme des conteneurs non privilégiés
[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur
[ECS.9] Les définitions de tâches ECS doivent avoir une configuration de journalisation
[ECS.12] Les clusters ECS doivent utiliser Container Insights
[EFS.2] Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde
[EFS.3] Les points d'accès EFS doivent appliquer un répertoire racine
[EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur
[EFS.7] Les sauvegardes automatiques des systèmes de fichiers EFS doivent être activées
[EFS.8] Les systèmes de fichiers EFS doivent être chiffrés au repos
[EKS.1] Les points de terminaison du cluster EKS ne doivent pas être accessibles au public
[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge
[EKS.3] Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés
[EKS.8] La journalisation des audits doit être activée sur les clusters EKS
[EKS.9] Les groupes de nœuds EKS doivent fonctionner sur une version de Kubernetes prise en charge
[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos
[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport
[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch
[ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP non valides
[ELB.7] La vidange des connexions doit être activée sur les équilibreurs de charge classiques
[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité
[ELB.22] Les groupes cibles de l'ELB doivent utiliser des protocoles de transport cryptés
[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques
[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé
[EMR.3] Les configurations de sécurité Amazon EMR doivent être chiffrées au repos
[EMR.4] Les configurations de sécurité Amazon EMR doivent être cryptées pendant le transport
[ES.1] Le chiffrement au repos doit être activé dans les domaines Elasticsearch
[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public
[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds
[ES.5] La journalisation des audits doit être activée dans les domaines Elasticsearch
[ES.6] Les domaines Elasticsearch doivent comporter au moins trois nœuds de données
[ES.7] Les domaines Elasticsearch doivent être configurés avec au moins trois nœuds maîtres dédiés
[Glue.3]AWS Glueles transformations de machine learning doivent être cryptées au repos
[Glue.4]AWS GlueLes tâches Spark doivent s'exécuter sur les versions prises en charge deAWS Glue
[GuardDuty.1] GuardDuty doit être activé
[GuardDuty.5] La surveillance du journal d'audit GuardDuty EKS doit être activée
[GuardDuty.6] La protection GuardDuty Lambda doit être activée
[GuardDuty.7] La surveillance du temps d'exécution GuardDuty EKS doit être activée
[GuardDuty.8] La protection contre les GuardDuty programmes malveillants pour EC2 doit être activée
[GuardDuty.9] GuardDuty La protection RDS doit être activée
[GuardDuty.10] La protection GuardDuty S3 doit être activée
[GuardDuty.11] La surveillance du temps GuardDuty d'exécution doit être activée
[GuardDuty.12] La surveillance du temps d'exécution GuardDuty ECS doit être activée
[GuardDuty.13] GuardDuty La surveillance du temps d'exécution EC2 doit être activée
[IAM.1] Les politiques IAM ne doivent pas autoriser des privilèges administratifs « * » complets
[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM
[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins
[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister
[IAM.6] Le MFA matériel doit être activé pour l'utilisateur root
[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées
[Inspector.1] La numérisation Amazon Inspector EC2 doit être activée
[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée
[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée
[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé
[Kinesis.1] Les flux Kinesis doivent être chiffrés au repos
[Kinesis.3] Les flux Kinesis doivent avoir une période de conservation des données adéquate
[KMS.3]AWS KMS keysne doit pas être supprimé par inadvertance
[KMS.5] Les clés KMS ne doivent pas être accessibles au public
[Lambda.1] Les politiques relatives à la fonction Lambda devraient interdire l'accès public
[Lambda.2] Les fonctions Lambda doivent utiliser des environnements d'exécution pris en charge
[Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité
[Macie.1] Amazon Macie devrait être activé
[Macie.2] La découverte automatique des données sensibles par Macie doit être activée
[MQ.2] Les courtiers ActiveMQ doivent diffuser les journaux d'audit à CloudWatch
[MSK.1] Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du courtier
[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport
[MSK.4] L'accès public aux clusters MSK doit être désactivé
[MSK.5] La journalisation des connecteurs MSK doit être activée
[MSK.6] Les clusters MSK doivent désactiver l'accès non authentifié
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
[NetworkFirewall.2] La journalisation du Network Firewall doit être activée
[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide
[Opensearch.1] le chiffrement au repos doit être activé dans les OpenSearch domaines
[Opensearch.2] OpenSearch les domaines ne doivent pas être accessibles au public
[Opensearch.3] OpenSearch les domaines doivent crypter les données envoyées entre les nœuds
[Opensearch.5] la journalisation des audits doit être activée dans les OpenSearch domaines
[Opensearch.6] OpenSearch les domaines doivent avoir au moins trois nœuds de données
[Opensearch.7] le contrôle d'accès détaillé des OpenSearch domaines doit être activé
[Opensearch.10] OpenSearch les domaines doivent avoir la dernière mise à jour logicielle installée
[PCA.1]AWS CA privéel'autorité de certification racine doit être désactivée
[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
[RDS.1] L'instantané RDS doit être privé
[RDS.3] Le chiffrement au repos doit être activé sur les instances de base de données RDS
[RDS.6] Une surveillance améliorée doit être configurée pour les instances de base de données RDS
[RDS.7] La protection contre la suppression des clusters RDS doit être activée
[RDS.8] La protection contre la suppression des instances de base de données RDS doit être activée
[RDS.9] Les instances de base de données RDS doivent publier les journaux dans Logs CloudWatch
[RDS.10] L'authentification IAM doit être configurée pour les instances RDS
[RDS.11] Les sauvegardes automatiques doivent être activées sur les instances RDS
[RDS.12] L'authentification IAM doit être configurée pour les clusters RDS
[RDS.13] Les mises à niveau automatiques des versions mineures de RDS doivent être activées
[RDS.14] Le retour en arrière doit être activé sur les clusters Amazon Aurora
[RDS.23] Les instances RDS ne doivent pas utiliser de port par défaut du moteur de base de données
[RDS.27] Les clusters de base de données RDS doivent être chiffrés au repos
[RDS.43] Les proxys de base de données RDS doivent exiger le cryptage TLS pour les connexions
[RDS.44] Les instances de base de données RDS pour MariaDB doivent être chiffrées pendant le transit
[RDS.51] Les clusters globaux RDS doivent s'exécuter sur une version d'Aurora MySQL prise en charge
[Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public
[Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit
[Redshift.3] Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift
[Redshift.4] La journalisation des audits doit être activée sur les clusters Amazon Redshift
[Redshift.7] Les clusters Redshift doivent utiliser un routage VPC amélioré
[Redshift.10] Les clusters Redshift doivent être chiffrés au repos
[Redshift.18] Les déploiements doivent être activés pour les clusters Redshift Multi-AZ
[RedshiftServerless.3] Les groupes de travail Redshift Serverless devraient interdire l'accès public
[S3.2] Les compartiments à usage général S3 devraient bloquer l'accès public à la lecture
[S3.3] Les compartiments à usage général S3 devraient bloquer l'accès public en écriture
[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public
[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie
[S3.19] Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3
[S3.25] Les compartiments de répertoire S3 doivent avoir des configurations de cycle de vie
[SageMaker.2] les instances de SageMaker bloc-notes doivent être lancées dans un VPC personnalisé
[SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles
[SageMaker.14] l'isolation du réseau doit être activée dans les plannings de SageMaker surveillance
[SecretsManager.3] Supprimer les secrets inutilisés du Gestionnaire de Secrets
[SecretsManager.4] Les secrets de Secrets Manager doivent être renouvelés dans un délai spécifié
[SNS.4] Les politiques d'accès aux rubriques du SNS ne devraient pas autoriser l'accès public
[SQS.1] Les files d'attente Amazon SQS doivent être chiffrées au repos
[SQS.3] Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public
[SSM.1] Les instances Amazon EC2 doivent être gérées parAWS Systems Manager
[SSM.4] Les documents SSM ne doivent pas être publics
[SSM.6] La CloudWatch journalisation devrait être activée dans SSM Automation
[SSM.7] Le paramètre de blocage du partage public doit être activé pour les documents SSM
[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée
[Transfer.3] La journalisation des connecteurs Transfer Family doit être activée
[WAF.1]AWS WAFLa journalisation classique de l'ACL Web globale doit être activée
[WAF.2]AWS WAFLes règles régionales classiques doivent comporter au moins une condition
[WAF.3]AWS WAFLes groupes de règles régionaux classiques doivent avoir au moins une règle
[WAF.6]AWS WAFLes règles globales classiques doivent comporter au moins une condition
[WAF.7]AWS WAFLes groupes de règles globaux classiques doivent comporter au moins une règle
[WAF.10]AWS WAFLes ACL Web doivent avoir au moins une règle ou un groupe de règles
[WAF.12]AWS WAFles CloudWatch métriques doivent être activées pour les règles
[WorkSpaces.1] les volumes WorkSpaces d'utilisateurs doivent être chiffrés au repos
[WorkSpaces.2] les volumes WorkSpaces racine doivent être chiffrés au repos