View a markdown version of this page

PCI DSS dans Security Hub CSPM - AWSSecurity Hub

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

PCI DSS dans Security Hub CSPM

La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est un cadre de conformité tiers qui fournit un ensemble de règles et de directives pour traiter en toute sécurité les informations relatives aux cartes de crédit et de débit. Le Conseil des normes de sécurité PCI (SSC) crée et met à jour ce cadre.

AWSSecurity Hub CSPM fournit une norme PCI DSS qui peut vous aider à rester en conformité avec ce framework tiers. Vous pouvez utiliser cette norme pour découvrir des failles de sécurité dans les AWS ressources qui traitent les données des titulaires de cartes. Nous recommandons d'activer cette norme dans les Comptes AWS cas où des ressources stockent, traitent ou transmettent les données des titulaires de cartes ou les données d'authentification sensibles. Les évaluations réalisées par le PCI SSC ont validé cette norme.

Security Hub CSPM prend en charge les normes PCI DSS v3.2.1 et PCI DSS v4.0.1. Nous vous recommandons d'utiliser la version 4.0.1 pour rester au fait des meilleures pratiques en matière de sécurité. Vous pouvez activer les deux versions de la norme en même temps. Pour plus d'informations sur les normes habilitantes, voirMise en place d'une norme de sécurité. Si vous utilisez actuellement la version 3.2.1 mais que vous souhaitez utiliser uniquement la version 4.0.1, activez la version la plus récente avant de désactiver l'ancienne version. Cela permet d'éviter les failles dans vos contrôles de sécurité. Si vous utilisez l'intégration CSPM de Security Hub AWS Organizations et que vous souhaitez activer par lots la version 4.0.1 sur plusieurs comptes, nous vous recommandons d'utiliser une configuration centralisée pour ce faire.

Les sections suivantes précisent les contrôles qui s'appliquent aux normes PCI DSS v3.2.1 et PCI DSS v4.0.1.

Contrôles applicables à la norme PCI DSS v3.2.1

La liste suivante indique quels contrôles Security Hub CSPM s'appliquent à la norme PCI DSS v3.2.1. Pour consulter les détails d'un contrôle, choisissez-le.

[AutoScaling.1] Les groupes Auto Scaling associés à un équilibreur de charge doivent utiliser les contrôles de santé ELB

[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé

[CloudTrail.3] Au moins une CloudTrail piste doit être activée

[CloudTrail.4] la validation du fichier CloudTrail journal doit être activée

[CloudTrail.5] les CloudTrail sentiers doivent être intégrés à Amazon CloudWatch Logs

[CloudWatch.1] Un filtre logarithmique et une alarme doivent exister pour l'utilisation de l'utilisateur « root »

[CodeBuild.1] Les URL du référentiel source CodeBuild Bitbucket ne doivent pas contenir d'informations d'identification sensibles

[CodeBuild.2] les variables d'environnement CodeBuild du projet ne doivent pas contenir d'informations d'identification en texte clair

[Config.1]AWS Configdoit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources

[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques

[EC2.1] Les instantanés Amazon EBS ne doivent pas être configurés pour être restaurables publiquement

[EC2.2] Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant

[EC2.6] La journalisation des flux VPC doit être activée dans tous les VPC

[EC2.12] Les EIP Amazon EC2 non utilisés doivent être supprimés

[EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis la version 0.0.0. 0/0 ou : :/0 vers le port 22

[ELB.1] Application Load Balancer doit être configuré pour rediriger toutes les requêtes HTTP vers HTTPS

[ES.1] Le chiffrement au repos doit être activé dans les domaines Elasticsearch

[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public

[GuardDuty.1] GuardDuty doit être activé

[IAM.1] Les politiques IAM ne doivent pas autoriser des privilèges administratifs « * » complets

[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM

[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister

[IAM.6] Le MFA matériel doit être activé pour l'utilisateur root

[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées

[IAM.9] La MFA doit être activée pour l'utilisateur root

[IAM.10] Les politiques de mot de passe pour les utilisateurs IAM doivent avoir des configurations strictes

[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM

[KMS.4]AWS KMSla rotation des touches doit être activée

[Lambda.1] Les politiques relatives à la fonction Lambda devraient interdire l'accès public

[Lambda.3] Les fonctions Lambda doivent se trouver dans un VPC

[Opensearch.1] le chiffrement au repos doit être activé dans les OpenSearch domaines

[Opensearch.2] OpenSearch les domaines ne doivent pas être accessibles au public

[RDS.1] L'instantané RDS doit être privé

[RDS.2] Les instances de base de données RDS doivent interdire l'accès public, tel que déterminé par la configuration PubliclyAccessible

[Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public

[S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général doivent être activés

[S3.2] Les compartiments à usage général S3 devraient bloquer l'accès public à la lecture

[S3.3] Les compartiments à usage général S3 devraient bloquer l'accès public en écriture

[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation du protocole SSL

[S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions

[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet

[SSM.1] Les instances Amazon EC2 doivent être gérées parAWS Systems Manager

[SSM.2] Les instances Amazon EC2 gérées par Systems Manager doivent avoir un statut de conformité aux correctifs de COMPLIANT après l'installation d'un correctif

[SSM.3] Les instances Amazon EC2 gérées par Systems Manager doivent avoir le statut de conformité des associations COMPLIANT

Contrôles applicables à la norme PCI DSS v4.0.1

La liste suivante indique quels contrôles Security Hub CSPM s'appliquent à la norme PCI DSS v4.0.1. Pour consulter les détails d'un contrôle, choisissez-le.

[ACM.1] Importé et ACM-issued les certificats doivent être renouvelés après une période spécifiée

[ACM.2] Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits

[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2

[AppSync.2]AWS AppSyncla journalisation au niveau du champ doit être activée

[AutoScaling.3] Les configurations de lancement du groupe Auto Scaling doivent configurer les instances EC2 pour qu'elles nécessitent le service de métadonnées d'instance version 2 (IMDSv2)

[Autoscaling.5] Les instances Amazon EC2 lancées à l'aide des configurations de lancement de groupe Auto Scaling ne doivent pas avoir d'adresses IP publiques

[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré

[CloudFront.10] CloudFront les distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées

[CloudFront.12] CloudFront les distributions ne doivent pas pointer vers des origines S3 inexistantes

[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement en transit

[CloudFront.5] la journalisation des CloudFront distributions doit être activée

[CloudFront.6] WAF doit être activé sur les CloudFront distributions

[CloudFront.9] CloudFront les distributions doivent crypter le trafic vers des origines personnalisées

[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé

[CloudTrail.3] Au moins une CloudTrail piste doit être activée

[CloudTrail.4] la validation du fichier CloudTrail journal doit être activée

[CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public

[CloudTrail.7] Assurez-vous que la journalisation des accès au compartiment S3 est activée sur le compartiment CloudTrail S3

[CodeBuild.1] Les URL du référentiel source CodeBuild Bitbucket ne doivent pas contenir d'informations d'identification sensibles

[CodeBuild.2] les variables d'environnement CodeBuild du projet ne doivent pas contenir d'informations d'identification en texte clair

[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés

[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques

[DMS.10] L'autorisation IAM doit être activée sur les points de terminaison DMS pour les bases de données Neptune

[DMS.11] Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé

[DMS.12] TLS doit être activé sur les points de terminaison DMS pour Redis OSS

[DMS.6] La mise à niveau automatique des versions mineures des instances de réplication DMS doit être activée

[DMS.7] La journalisation des tâches de réplication DMS pour la base de données cible doit être activée

[DMS.8] La journalisation des tâches de réplication DMS pour la base de données source doit être activée

[DMS.9] Les points de terminaison DMS doivent utiliser le protocole SSL

[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate

[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics

[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch

[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit

[EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis la version 0.0.0. 0/0 ou : :/0 vers le port 22

[EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis la version 0.0.0. 0/0 ou : :/0 vers le port 3389

[EC2.15] Les sous-réseaux Amazon EC2 ne doivent pas attribuer automatiquement d'adresses IP publiques

[EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées

[EC2.170] Les modèles de lancement EC2 doivent utiliser le service de métadonnées d'instance version 2 (IMDSv2)

[EC2.171] La journalisation des connexions VPN EC2 doit être activée

[EC2.21] Les ACL réseau ne doivent pas autoriser l'entrée à partir de la version 0.0.0. 0/0 vers le port 22 ou le port 3389

[EC2.25] Les modèles de lancement Amazon EC2 ne doivent pas attribuer d'adresses IP publiques aux interfaces réseau

[EC2.51] La journalisation des connexions client doit être activée sur les points de terminaison VPN EC2

[EC2.53] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis la version 0.0.0. 0/0 vers les ports d'administration de serveurs distants

[EC2.54] Les groupes de sécurité EC2 ne doivent pas autoriser l'entrée depuis : :/0 vers les ports d'administration des serveurs distants

[EC2.8] Les instances EC2 doivent utiliser le service de métadonnées d'instance version 2 (IMDSv2)

[ECR.1] La numérisation des images doit être configurée dans les référentiels privés ECR

[ECS.10] Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate

[ECS.16] Les ensembles de tâches ECS ne doivent pas attribuer automatiquement d'adresses IP publiques

[ECS.2] Aucune adresse IP publique ne doit être attribuée automatiquement aux services ECS

[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur

[EFS.4] Les points d'accès EFS doivent renforcer l'identité de l'utilisateur

[EFS.6] Les cibles de montage EFS ne doivent pas être associées à des sous-réseaux qui attribuent des adresses IP publiques au lancement

[EKS.1] Les points de terminaison du cluster EKS ne doivent pas être accessibles au public

[EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge

[EKS.3] Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés

[EKS.8] La journalisation des audits doit être activée sur les clusters EKS

[ElastiCache.2] les mises à niveau automatiques des versions mineures devraient être activées sur les ElastiCache clusters

[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport

[ElastiCache.6] Les groupes de réplication ElastiCache (Redis OSS) des versions antérieures doivent avoir Redis OSS AUTH activé

[ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées

[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch

[ELB.12] Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict

[ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict

[ELB.3] Les écouteurs Classic Load Balancer doivent être configurés avec une terminaison HTTPS ou TLS

[ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP non valides

[ELB.8] Les équilibreurs de charge classiques dotés d'écouteurs SSL doivent utiliser une politique de sécurité prédéfinie qui repose surAWS Configdurée

[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques

[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé

[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public

[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds

[ES.5] La journalisation des audits doit être activée dans les domaines Elasticsearch

[ES.8] Les connexions aux domaines Elasticsearch doivent être chiffrées conformément à la dernière politique de sécurité TLS

[EventBridge.3] les bus d'événements EventBridge personnalisés doivent être associés à une politique basée sur les ressources

[GuardDuty.1] GuardDuty doit être activé

[GuardDuty.10] La protection GuardDuty S3 doit être activée

[GuardDuty.6] La protection GuardDuty Lambda doit être activée

[GuardDuty.7] La surveillance du temps d'exécution GuardDuty EKS doit être activée

[GuardDuty.9] GuardDuty La protection RDS doit être activée

[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins

[IAM.5] La MFA doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console

[IAM.6] Le MFA matériel doit être activé pour l'utilisateur root

[IAM.7] Les politiques de mot de passe pour les utilisateurs IAM doivent avoir des configurations strictes

[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées

[IAM.9] La MFA doit être activée pour l'utilisateur root

[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule

[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule

[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre

[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe

[IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins

[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avecAWS Support

[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM

[Inspector.1] La numérisation Amazon Inspector EC2 doit être activée

[Inspector.2] La numérisation ECR d'Amazon Inspector doit être activée

[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée

[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé

[KMS.4]AWS KMSla rotation des touches doit être activée

[Lambda.1] Les politiques relatives à la fonction Lambda devraient interdire l'accès public

[Lambda.2] Les fonctions Lambda doivent utiliser des environnements d'exécution pris en charge

[MQ.2] Les courtiers ActiveMQ doivent diffuser les journaux d'audit à CloudWatch

[MSK.1] Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du courtier

[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport

[Neptune.2] Les clusters de base de données Neptune doivent publier les journaux d'audit dans Logs CloudWatch

[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics

[Opensearch.10] OpenSearch les domaines doivent avoir la dernière mise à jour logicielle installée

[Opensearch.5] la journalisation des audits doit être activée dans les OpenSearch domaines

[RDS.13] Les mises à niveau automatiques des versions mineures de RDS doivent être activées

[RDS.2] Les instances de base de données RDS doivent interdire l'accès public, tel que déterminé par la configuration PubliclyAccessible

[RDS.20] Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques liés aux instances de base de données

[RDS.21] Un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques liés aux groupes de paramètres de base de données

[RDS.22] Un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques des groupes de sécurité de base de données

[RDS.24] Les clusters de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé

[RDS.25] Les instances de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé

[RDS.34] Les clusters de base de données Aurora MySQL doivent publier les journaux d'audit dans CloudWatch Logs

[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée

[RDS.36] Les instances de base de données RDS pour PostgreSQL doivent publier les journaux dans Logs CloudWatch

[RDS.37] Les clusters de base de données Aurora PostgreSQL doivent publier les journaux dans Logs CloudWatch

[RDS.9] Les instances de base de données RDS doivent publier les journaux dans Logs CloudWatch

[Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public

[Redshift.15] Les groupes de sécurité Redshift doivent autoriser l'entrée sur le port du cluster uniquement à partir d'origines restreintes

[Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit

[Redshift.4] La journalisation des audits doit être activée sur les clusters Amazon Redshift

[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS

[S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général doivent être activés

[S3.15] Object Lock doit être activé dans les compartiments S3 à usage général

[S3.17] Les compartiments S3 à usage général doivent être chiffrés au repos avecAWS KMS keys

[S3.19] Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3

[S3.22] Les compartiments à usage général S3 doivent enregistrer les événements d'écriture au niveau de l'objet

[S3.23] Les compartiments à usage général S3 doivent enregistrer les événements de lecture au niveau de l'objet

[S3.24] Les paramètres de blocage de Multi-Region l'accès public aux points d'accès S3 doivent être activés

[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation du protocole SSL

[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public

[S3.9] La journalisation des accès au serveur doit être activée dans les compartiments S3 à usage général

[SageMaker.1] Les instances d'Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet

[SecretsManager.1] La rotation automatique des secrets des secrets de Secrets Manager doit être activée

[SecretsManager.2] Les secrets de Secrets Manager configurés avec une rotation automatique devraient être correctement pivotés

[SecretsManager.4] Les secrets de Secrets Manager doivent être renouvelés dans un délai spécifié

[SSM.2] Les instances Amazon EC2 gérées par Systems Manager doivent avoir un statut de conformité aux correctifs de COMPLIANT après l'installation d'un correctif

[SSM.3] Les instances Amazon EC2 gérées par Systems Manager doivent avoir le statut de conformité des associations COMPLIANT

[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée

[Transfer.2] Les serveurs Transfer Family ne doivent pas utiliser le protocole FTP pour la connexion des terminaux

[WAF.1]AWS WAFLa journalisation classique de l'ACL Web globale doit être activée

[WAF.11]AWS WAFla journalisation des ACL Web doit être activée