PCI DSS dans Security Hub - AWS Security Hub

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

PCI DSS dans Security Hub

La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) est un cadre de conformité tiers qui fournit un ensemble de règles et de directives pour traiter en toute sécurité les informations relatives aux cartes de crédit et de débit. Le Conseil des normes de sécurité PCI (SSC) crée et met à jour ce cadre.

AWS Security Hub dispose d'une norme PCI DSS pour vous aider à rester en conformité avec ce framework tiers. Vous pouvez utiliser cette norme pour découvrir des failles de sécurité dans les AWS ressources qui traitent les données des titulaires de cartes. Nous recommandons d'activer cette norme dans les Comptes AWS cas où des ressources stockent, traitent ou transmettent les données des titulaires de cartes ou les données d'authentification sensibles. Les évaluations réalisées par le PCI SSC ont validé cette norme.

Security Hub prend en charge les normes PCI DSS v3.2.1 et PCI DSS v4.0.1. Nous vous recommandons d'utiliser la version 4.0.1 pour rester au fait des meilleures pratiques en matière de sécurité. Vous pouvez activer les deux versions de la norme en même temps. Pour obtenir des instructions sur les normes habilitantes, voirActivation d'une norme de sécurité dans Security Hub. Si vous utilisez actuellement la version 3.2.1 mais que vous souhaitez utiliser uniquement la version 4.0.1, activez la version la plus récente avant de désactiver l'ancienne version. Cela permet d'éviter les failles dans vos contrôles de sécurité. Si vous utilisez l'intégration de Security Hub AWS Organizations et que vous souhaitez activer la version 4.0.1 par lots sur plusieurs comptes, nous vous recommandons d'utiliser une configuration centralisée pour ce faire.

Les sections suivantes indiquent les contrôles qui s'appliquent aux normes PCI DSS v3.2.1 et PCI DSS v4.0.1.

Contrôles applicables à la norme PCI DSS v3.2.1

[AutoScaling.1] Les groupes Auto Scaling associés à un équilibreur de charge doivent utiliser des contrôles ELB de santé

[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé

[CloudTrail.3] Au moins une CloudTrail piste doit être activée

[CloudTrail.4] La validation du fichier CloudTrail journal doit être activée

[CloudTrail.5] les CloudTrail sentiers doivent être intégrés à Amazon CloudWatch Logs

[CloudWatch.1] Un filtre logarithmique et une alarme doivent exister pour l'utilisation de l'utilisateur « root »

[CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles

[CodeBuild.2] les variables d'environnement CodeBuild du projet ne doivent pas contenir d'informations d'identification en texte clair

[Config.1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources

[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques

[EC2.1] Les instantanés Amazon EBS ne doivent pas être restaurables publiquement

[EC2.2] Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant

[EC2.6] La journalisation des flux VPC doit être activée dans tous les cas VPCs

[EC2.12] Amazon non utilisé EC2 EIPs doit être supprimé

[EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22

[ELB.1] Application Load Balancer doit être configuré pour rediriger toutes les HTTP demandes vers HTTPS

[ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch

[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public

[GuardDuty.1] GuardDuty doit être activé

[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « * » complets

[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM

[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister

[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine

[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées

[IAM.9] La MFA doit être activée pour l'utilisateur root

[IAM.10] Les politiques relatives aux mots de passe pour les utilisateurs IAM devraient avoir une durée de validité stricte AWS Config

[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM

La rotation des AWS KMS touches [KMS.4] doit être activée

[Lambda.1] Les politiques relatives à la fonction Lambda devraient interdire l'accès public

[Lambda.3] Les fonctions Lambda doivent être dans un VPC

Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]

Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public

[RDS.1] L'instantané RDS doit être privé

[RDS.2] Les instances de base de données RDS doivent interdire l'accès public, tel que déterminé par la configuration PubliclyAccessible

[Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public

[S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général devraient être activés

[S3.2] Les compartiments à usage général S3 devraient bloquer l'accès public à la lecture

[S3.3] Les compartiments à usage général S3 devraient bloquer l'accès public en écriture

[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation SSL

[S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions

[SageMaker.1] Les instances de SageMaker blocs-notes Amazon AI ne doivent pas avoir d'accès direct à Internet

[SSM.1] EC2 Les instances Amazon doivent être gérées par AWS Systems Manager

[SSM.2] EC2 Les instances Amazon gérées par Systems Manager doivent avoir un statut de conformité aux correctifs égal à « COMPLIANT après l'installation du correctif »

[SSM.3] EC2 Les instances Amazon gérées par Systems Manager doivent avoir un statut de conformité d'association de COMPLIANT

Contrôles applicables à la norme PCI DSS v4.0.1

[ACM.1] Les certificats importés et ACM émis doivent être renouvelés après une période spécifiée

[ACM.2] RSA les certificats gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits

[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2

[AppSync.2] AWS AppSync doit avoir activé la journalisation au niveau du champ

[AutoScaling.3] Les configurations de lancement du groupe Auto Scaling doivent configurer les EC2 instances pour qu'elles nécessitent la version 2 du service de métadonnées d'instance (IMDSv2)

[Autoscaling.5] Les EC2 instances Amazon lancées à l'aide des configurations de lancement de groupe Auto Scaling ne doivent pas avoir d'adresses IP publiques

[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré

[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de SSL protocoles obsolètes entre les emplacements périphériques et les origines personnalisées

[CloudFront.12] les CloudFront distributions ne doivent pas pointer vers des origines S3 inexistantes

[CloudFront.3] CloudFront les distributions devraient nécessiter un chiffrement pendant le transit

[CloudFront.5] la journalisation des CloudFront distributions doit être activée

[CloudFront.6] les CloudFront distributions auraient dû activer WAF

[CloudFront.9] les CloudFront distributions doivent crypter le trafic vers des origines personnalisées

[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé

[CloudTrail.3] Au moins une CloudTrail piste doit être activée

[CloudTrail.4] La validation du fichier CloudTrail journal doit être activée

[CloudTrail.6] Assurez-vous que le compartiment S3 utilisé pour stocker les CloudTrail journaux n'est pas accessible au public

[CloudTrail.7] Assurez-vous que la journalisation de l'accès au compartiment S3 est activée sur le CloudTrail compartiment S3

[CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles

[CodeBuild.2] les variables d'environnement CodeBuild du projet ne doivent pas contenir d'informations d'identification en texte clair

[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés

[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques

[DMS.10] L'autorisation doit être activée pour DMS les points de terminaison des bases de données Neptune IAM

[DMS.11] Les DMS points de terminaison de MongoDB doivent avoir un mécanisme d'authentification activé

[DMS.12] les DMS points de terminaison pour Redis auraient dû être activés OSS TLS

[DMS.6] DMS La mise à niveau automatique des versions mineures doit être activée sur les instances de réplication

[DMS.7] la journalisation des tâches de DMS réplication pour la base de données cible doit être activée

[DMS.8] la journalisation des tâches de DMS réplication pour la base de données source doit être activée

[DMS.9] les DMS points de terminaison doivent utiliser SSL

[DocumentDB.2] Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate

[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics

[DocumentDB.4] Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch

[DynamoDB.7] Les clusters DynamoDB Accelerator doivent être chiffrés en transit

[EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22

[EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389

[EC2.15] EC2 Les sous-réseaux Amazon ne doivent pas attribuer automatiquement d'adresses IP publiques

[EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées

[EC2.170] les modèles de EC2 lancement doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2

[EC2.171] La journalisation des connexions EC2 VPN doit être activée

[EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389

[EC2.25] Les modèles de EC2 lancement Amazon ne doivent pas attribuer de public IPs aux interfaces réseau

[EC2.51] La journalisation des connexions EC2 client doit être activée sur les points de terminaison VPN du client

[EC2.53] les groupes EC2 de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers les ports d'administration des serveurs distants

[EC2.54] les groupes EC2 de sécurité ne doivent pas autoriser l'entrée depuis : :/0 vers les ports d'administration des serveurs distants

[EC2.8] EC2 les instances doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2

[ECR.1] la numérisation des images doit être configurée dans les référentiels ECR privés

[ECS.10] Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate

[ECS.16] les ensembles de ECS tâches ne doivent pas attribuer automatiquement d'adresses IP publiques

[ECS.2] ECS aucune adresse IP publique ne doit être attribuée automatiquement aux services

[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur

[EFS.4] les points EFS d'accès doivent renforcer l'identité de l'utilisateur

[EKS.1] les points de terminaison EKS du cluster ne doivent pas être accessibles au public

[EKS.2] les EKS clusters doivent fonctionner sur une version de Kubernetes prise en charge

[EKS.3] les EKS clusters doivent utiliser des secrets Kubernetes chiffrés

[EKS.8] la journalisation des audits doit être activée sur les EKS clusters

[ElastiCache.2] les mises à niveau automatiques des versions mineures des ElastiCache clusters doivent être activées

[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport

[ElastiCache.6] Redis doit être activé sur les groupes de réplication ElastiCache (RedisOSS) des versions antérieures OSS AUTH

[ElasticBeanstalk.2] Les mises à jour de la plateforme gérée par Elastic Beanstalk doivent être activées

[ElasticBeanstalk.3] Elastic Beanstalk devrait diffuser les logs vers CloudWatch

[ELB.12] Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict

[ELB.14] Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict

[ELB.3] Les écouteurs Classic Load Balancer doivent être configurés avec ou sans arrêt HTTPS TLS

[ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP non valides

[ELB.8] Les équilibreurs de charge classiques avec SSL écouteurs doivent utiliser une politique de sécurité prédéfinie d'une durée élevée AWS Config

[EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques

[EMR.2] Le paramètre de blocage de l'accès public à Amazon EMR doit être activé

[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public

[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds

[ES.5] La journalisation des audits doit être activée dans les domaines Elasticsearch

[ES.8] Les connexions aux domaines Elasticsearch doivent être chiffrées conformément à la dernière politique de sécurité TLS

[EventBridge.3] les bus d'événements EventBridge personnalisés doivent être associés à une politique basée sur les ressources

[GuardDuty.1] GuardDuty doit être activé

[GuardDuty.10] La protection GuardDuty S3 doit être activée

[GuardDuty.6] La protection GuardDuty Lambda doit être activée

[GuardDuty.7] La surveillance du GuardDuty EKS temps d'exécution doit être activée

[GuardDuty.9] GuardDuty RDS La protection doit être activée

[IAM.10] Les politiques relatives aux mots de passe pour les utilisateurs IAM devraient avoir une durée de validité stricte AWS Config

[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule

[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule

[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole

[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre

[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe

[IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins

[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec Support

[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM

[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins

[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console

[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine

[IAM.7] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte

[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées

[IAM.9] La MFA doit être activée pour l'utilisateur root

[Inspector.1] La EC2 numérisation Amazon Inspector doit être activée

[Inspector.2] La ECR numérisation Amazon Inspector doit être activée

[Inspector.3] La numérisation du code Lambda par Amazon Inspector doit être activée

[Inspector.4] Le scan standard Amazon Inspector Lambda doit être activé

La rotation des AWS KMS touches [KMS.4] doit être activée

[Lambda.1] Les politiques relatives à la fonction Lambda devraient interdire l'accès public

[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge

[MQ.2] Les courtiers ActiveMQ devraient diffuser les journaux d'audit à CloudWatch

[MQ.3] Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures

[MSK.1] les MSK clusters doivent être chiffrés lors du transit entre les nœuds du courtier

[MSK.3] Les connecteurs MSK Connect doivent être chiffrés pendant le transport

[Neptune.2] Les clusters de base de données Neptune devraient publier les journaux d'audit dans Logs CloudWatch

[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics

Les OpenSearch domaines [Opensearch.10] doivent avoir la dernière mise à jour logicielle installée

[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines

[RDS.13] Les mises à niveau automatiques des versions mineures de RDS devraient être activées

[RDS.2] Les instances de base de données RDS doivent interdire l'accès public, tel que déterminé par la configuration PubliclyAccessible

[RDS.20] Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques relatifs aux instances de base de données

[RDS.21] Un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques de groupes de paramètres de base de données

[RDS.22] Un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques des groupes de sécurité de base de données

[RDS.24] Les clusters de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé

[RDS.25] Les instances de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé

[RDS.34] Les clusters de base de données Aurora MySQL doivent publier les journaux d'audit dans Logs CloudWatch

[RDS.35] La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée

[RDS.36] Les instances de base de données RDS pour PostgreSQL doivent publier les journaux dans Logs CloudWatch

[RDS.37] Les clusters de base de données Aurora PostgreSQL doivent publier des journaux dans Logs CloudWatch

[RDS.9] Les instances de base de données RDS doivent publier les journaux dans Logs CloudWatch

[Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public

[Redshift.15] Les groupes de sécurité Redshift doivent autoriser l'entrée sur le port du cluster uniquement à partir d'origines restreintes

[Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit

[Redshift.4] La journalisation des audits doit être activée sur les clusters Amazon Redshift

[Route53.2] Les zones hébergées publiques de Route 53 devraient enregistrer les requêtes DNS

[S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général devraient être activés

[S3.15] Object Lock doit être activé dans les compartiments S3 à usage général

[S3.17] Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys

[S3.19] Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3

[S3.22] Les compartiments à usage général S3 doivent enregistrer les événements d'écriture au niveau des objets

[S3.23] Les compartiments à usage général S3 doivent enregistrer les événements de lecture au niveau des objets

[S3.24] Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 devraient être activés

[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation SSL

[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public

[S3.9] La journalisation des accès au serveur doit être activée dans les compartiments S3 à usage général

[SageMaker.1] Les instances de SageMaker blocs-notes Amazon AI ne doivent pas avoir d'accès direct à Internet

[SecretsManager.1] La rotation automatique des secrets de Secrets Manager doit être activée

[SecretsManager.2] Les secrets de Secrets Manager configurés avec une rotation automatique devraient être correctement pivotés

[SecretsManager.4] Les secrets de Secrets Manager doivent être renouvelés dans un délai spécifié

[SSM.2] EC2 Les instances Amazon gérées par Systems Manager doivent avoir un statut de conformité aux correctifs égal à « COMPLIANT après l'installation du correctif »

[SSM.3] EC2 Les instances Amazon gérées par Systems Manager doivent avoir un statut de conformité d'association de COMPLIANT

[StepFunctions.1] La journalisation des machines à états Step Functions doit être activée

[Transfer.2] Les serveurs Transfer Family ne doivent pas utiliser de FTP protocole pour la connexion des terminaux

[WAF.1] La ACL journalisation Web globale AWS WAF classique doit être activée

[WAF.11] la ACL journalisation AWS WAF Web doit être activée