Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Référence des contrôles Security Hub
Cette référence de contrôles fournit une liste des AWS Security Hub contrôles disponibles avec des liens vers des informations supplémentaires sur chaque contrôle. Le tableau récapitulatif affiche les contrôles par ordre alphabétique par ID de contrôle. Seuls les contrôles utilisés activement par Security Hub sont inclus ici. Les contrôles retirés sont exclus de cette liste. Le tableau fournit les informations suivantes pour chaque contrôle :
-
ID de contrôle de sécurité — Cet identifiant s'applique à toutes les normes et indique la ressource Service AWS et les ressources auxquelles le contrôle se rapporte. La console Security Hub affiche le contrôle de sécuritéIDs, que les résultats de contrôle consolidés soient activés ou non dans votre compte. Toutefois, les résultats du Security Hub font référence au contrôle de sécurité IDs uniquement si les résultats de contrôle consolidés sont activés dans votre compte. Si les résultats de contrôle consolidés sont désactivés dans votre compte, certains contrôles IDs varient d'une norme à l'autre en ce qui concerne vos résultats de contrôle. Pour un mappage entre le contrôle spécifique à une norme et le contrôle IDs de sécuritéIDs, voir. L'impact de la consolidation sur le contrôle IDs et les titres
Si vous souhaitez configurer des automatisations pour les contrôles de sécurité, nous vous recommandons de filtrer en fonction de l'ID du contrôle plutôt que du titre ou de la description. Security Hub peut parfois mettre à jour les titres ou les descriptions des contrôles, mais le contrôle IDs reste le même.
IDsLe contrôle peut ignorer des chiffres. Il s'agit d'espaces réservés pour les futurs contrôles.
-
Normes applicables — Indique à quelles normes s'applique un contrôle. Sélectionnez un contrôle pour voir les exigences spécifiques des cadres de conformité tiers.
-
Titre du contrôle de sécurité — Ce titre s'applique à toutes les normes. La console Security Hub affiche les titres des contrôles de sécurité, que les résultats de contrôle consolidés soient activés ou non dans votre compte. Toutefois, les résultats du Security Hub font référence aux titres des contrôles de sécurité uniquement si les résultats de contrôle consolidés sont activés dans votre compte. Si les résultats de contrôle consolidés sont désactivés dans votre compte, certains titres de contrôle varient selon les normes en termes de résultats de contrôle. Pour un mappage entre le contrôle spécifique à une norme et le contrôle IDs de sécuritéIDs, voir. L'impact de la consolidation sur le contrôle IDs et les titres
-
Gravité — La sévérité d'un contrôle identifie son importance du point de vue de la sécurité. Pour plus d'informations sur la manière dont Security Hub détermine la sévérité des contrôles, consultezNiveau de gravité des résultats de contrôle.
-
Type de planification — Indique à quel moment le contrôle est évalué. Pour de plus amples informations, veuillez consulter Planification de l'exécution des vérifications de sécurité.
-
Prend en charge les paramètres personnalisés : indique si le contrôle prend en charge les valeurs personnalisées pour un ou plusieurs paramètres. Sélectionnez un contrôle pour voir les détails des paramètres. Pour de plus amples informations, veuillez consulter Comprendre les paramètres de contrôle dans Security Hub.
Sélectionnez un contrôle pour afficher plus de détails. Les commandes sont répertoriées par ordre alphabétique du nom du service.
| ID de contrôle de sécurité | Titre du contrôle de sécurité | Normes applicables | Sévérité | Supporte les paramètres personnalisés | Type de calendrier |
|---|---|---|---|---|---|
| Account.1 | Les coordonnées de sécurité doivent être fournies pour un Compte AWS | CIS AWS Foundations Benchmark v3.0.0, Meilleures pratiques de sécurité AWS fondamentales v1.0.0, norme de gestion des services : SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | Périodique | |
| Compte.2 | Compte AWS doit faire partie d'une AWS Organizations organisation | NISTSP 800-53 Rév. 5 | HIGH | |
Périodique |
| ACM1. | Les certificats importés et ACM émis doivent être renouvelés après une période spécifiée | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : NIST SP 800-53 Rev. 5 AWS Control Tower, v4.0.1 PCI DSS | MEDIUM | |
Changement déclenché et périodique |
| ACM2. | RSAles certificats gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits | AWS Bonnes pratiques de sécurité de base v1.0.0, v4.0.1 PCI DSS | HIGH | |
Changement déclenché |
| ACM3. | ACMles certificats doivent être étiquetés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| APIGateway1. | APILa journalisation REST de la passerelle et de WebSocket API l'exécution doit être activée | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| APIGateway2. | APIRESTAPILes étapes de passerelle doivent être configurées pour utiliser des SSL certificats pour l'authentification du backend | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| APIGateway3. | APILe AWS X-Ray suivi doit être activé sur les REST API étapes de la passerelle | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | LOW | |
Changement déclenché |
| APIGateway4. | APILa passerelle doit être associée à un WAF site Web ACL | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| APIGateway5. | APILes données REST API du cache de la passerelle doivent être chiffrées au repos | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| APIGateway8. | APILes routes de passerelle doivent spécifier un type d'autorisation | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Périodique |
| APIGateway9. | La journalisation des accès doit être configurée pour les étapes API Gateway V2 | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : NIST SP 800-53 Rev. 5 AWS Control Tower, v4.0.1 PCI DSS | MEDIUM | |
Changement déclenché |
| AppSync1. | AWS AppSync APIles caches doivent être chiffrés au repos | AWS Bonnes pratiques de sécurité de base v1.0.0 | MEDIUM | Changement déclenché | |
| AppSync2. | AWS AppSync la journalisation au niveau du champ doit être activée | AWS Bonnes pratiques de sécurité de base v1.0.0, v4.0.1 PCI DSS | MEDIUM | |
Changement déclenché |
| AppSync4. | AWS AppSync GraphQL APIs doit être balisé | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| AppSync5. | AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés API | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | HIGH | |
Changement déclenché |
| AppSync6. | AWS AppSync APIles caches doivent être chiffrés en transit | AWS Bonnes pratiques de sécurité de base v1.0.0 | MEDIUM | Changement déclenché | |
| Athéna.2 | Les catalogues de données Athena doivent être balisés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| Athéna.3 | Les groupes de travail Athena doivent être étiquetés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| Athéna.4 | La journalisation des groupes de travail Athena doit être activée | AWS Bonnes pratiques de sécurité de base v1.0.0 | MEDIUM | Changement déclenché | |
| AutoScaling1. | Les groupes Auto Scaling associés à un équilibreur de charge doivent utiliser des contrôles ELB de santé | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, v3.2.1, SP 800-53 AWS Control Tower Rev. PCI DSS 5 NIST | LOW | Changement déclenché | |
| AutoScaling2. | Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| AutoScaling3. | Les configurations de lancement du groupe Auto Scaling doivent configurer les EC2 instances de manière à ce qu'elles nécessitent la version 2 du service de métadonnées d'instance (IMDSv2) | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : NIST SP 800-53 Rev. 5 AWS Control Tower, v4.0.1 PCI DSS | HIGH | |
Changement déclenché |
| Autoscaling.5 | EC2Les instances Amazon lancées à l'aide des configurations de lancement de groupe Auto Scaling ne doivent pas avoir d'adresses IP publiques | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : NIST SP 800-53 Rev. 5 AWS Control Tower, v4.0.1 PCI DSS | HIGH | |
Changement déclenché |
| AutoScaling6. | Les groupes Auto Scaling doivent utiliser plusieurs types d'instances dans plusieurs zones de disponibilité | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| AutoScaling9. | EC2Les groupes Auto Scaling doivent utiliser des modèles de EC2 lancement | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| AutoScaling.10 | EC2Les groupes Auto Scaling doivent être balisés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| Sauvegarde.1 | AWS Backup les points de récupération doivent être chiffrés au repos | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Changement déclenché |
| Sauvegarde.2 | AWS Backup les points de récupération doivent être étiquetés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| Sauvegarde.3 | AWS Backup les coffres-forts doivent être étiquetés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| Sauvegarde.4 | AWS Backup les plans de rapport doivent être étiquetés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| Sauvegarde.5 | AWS Backup les plans de sauvegarde doivent être étiquetés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| CloudFormation2. | CloudFormation les piles doivent être étiquetées | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| CloudFront1. | CloudFront les distributions doivent avoir un objet racine par défaut configuré | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | HIGH | Changement déclenché | |
| CloudFront3. | CloudFront les distributions devraient nécessiter un chiffrement en transit | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Changement déclenché |
| CloudFront4. | CloudFront le basculement d'origine doit être configuré pour les distributions | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | LOW | |
Changement déclenché |
| CloudFront5. | CloudFront la journalisation des distributions doit être activée | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Changement déclenché |
| CloudFront6. | CloudFront les distributions auraient dû WAF activer | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Changement déclenché |
| CloudFront7. | CloudFront les distributions doivent utiliser des TLS certificatsSSL/personnalisés | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Changement déclenché |
| CloudFront8. | CloudFront les distributions devraient être utilisées SNI pour répondre aux HTTPS demandes | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | LOW | |
Changement déclenché |
| CloudFront9. | CloudFront les distributions doivent chiffrer le trafic vers des origines personnalisées | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Changement déclenché |
| CloudFront.10 | CloudFront les distributions ne doivent pas utiliser de SSL protocoles obsolètes entre les emplacements périphériques et les origines personnalisées | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Changement déclenché |
| CloudFront.12 | CloudFront les distributions ne doivent pas pointer vers des origines S3 inexistantes | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | HIGH | |
Périodique |
| CloudFront.13 | CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine | AWS Bonnes pratiques de sécurité de base v1.0.0 | MEDIUM | |
Changement déclenché |
| CloudFront.14 | CloudFront les distributions doivent être étiquetées | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| CloudTrail1. | CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, Service Géré Standard :, SP 800-53 Rev. 5 AWS Control Tower NIST | HIGH | Périodique | |
| CloudTrail2. | CloudTrail le chiffrement au repos doit être activé | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, v3.2.1, v4.0.1, norme gérée par les services : PCI DSS PCI DSS AWS Control Tower | MEDIUM | |
Périodique |
| CloudTrail3. | Au moins une CloudTrail piste doit être activée | PCIDSSv3.2.1, v4.0.1 PCI DSS | HIGH | Périodique | |
| CloudTrail4. | CloudTrail la validation du fichier journal doit être activée | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, Service-Managed Standard :, PCI DSS v3.2.1, v4.0.1, Foundations Benchmark AWS Control Tower v1.4.0, SP 800-53 Rev. 5 PCI DSS CIS AWS NIST | LOW | |
Périodique |
| CloudTrail5. | CloudTrail les sentiers doivent être intégrés à Amazon CloudWatch Logs | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, v3.2.1, v4.0.1, PCI DSS norme de gestion des services : PCI DSS AWS Control Tower | LOW | |
Périodique |
| CloudTrail6. | Assurez-vous que le compartiment S3 utilisé pour stocker CloudTrail les journaux n'est pas accessible au public | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, v4.0.1 PCI DSS | CRITICAL | |
Changement déclenché et périodique |
| CloudTrail7. | Assurez-vous que la journalisation des accès au compartiment S3 est activée sur le compartiment CloudTrail S3 | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, Foundations Benchmark CIS AWS v3.0.0, v4.0.1 PCI DSS | LOW | |
Périodique |
| CloudTrail9. | CloudTrail les sentiers doivent être balisés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| CloudWatch1. | Un journal, un filtre métrique et une alarme doivent exister pour l'utilisation de l'utilisateur « root » | CIS AWS Foundations Benchmark v1.2.0, PCI DSS v3.2.1, Foundations Benchmark v1.4.0 CIS AWS | LOW | |
Périodique |
| CloudWatch2. | Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour les API appels non autorisés | CIS AWS Foundations Benchmark v1.2.0 | LOW | |
Périodique |
| CloudWatch3. | Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour la connexion à la console de gestion sans MFA | CIS AWS Foundations Benchmark v1.2.0 | LOW | |
Périodique |
| CloudWatch4. | Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour les modifications IAM de politique | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 | LOW | |
Périodique |
| CloudWatch5. | Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour les modifications CloudTrail de configuration | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 | LOW | |
Périodique |
| CloudWatch6. | Assurez-vous qu'un journal, un filtre métrique et une alarme existent en cas AWS Management Console d'échec d'authentification | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 | LOW | |
Périodique |
| CloudWatch7. | Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour la désactivation ou la suppression planifiée des fichiers créés par le client CMKs | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 | LOW | |
Périodique |
| CloudWatch8. | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications de politique de compartiment S3 | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 | LOW | |
Périodique |
| CloudWatch9. | Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour les modifications AWS Config de configuration | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 | LOW | |
Périodique |
| CloudWatch.10 | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications des groupes de sécurité | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 | LOW | |
Périodique |
| CloudWatch.11 | Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour les modifications apportées aux listes de contrôle d'accès au réseau (NACL) | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 | LOW | |
Périodique |
| CloudWatch.12 | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications des passerelles réseau | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 | LOW | |
Périodique |
| CloudWatch.13 | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications des tables de routage | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 | LOW | |
Périodique |
| CloudWatch.14 | Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour les VPC modifications. | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0 | LOW | |
Périodique |
| CloudWatch.15 | CloudWatch les alarmes doivent avoir des actions spécifiées configurées | NISTSP 800-53 Rév. 5 | HIGH | |
Changement déclenché |
| CloudWatch.16 | CloudWatch les groupes de journaux doivent être conservés pendant une période spécifiée | NISTSP 800-53 Rév. 5 | MEDIUM | |
Périodique |
| CloudWatch.17 | CloudWatch les actions d'alarme doivent être activées | NISTSP 800-53 Rév. 5 | HIGH | |
Changement déclenché |
| CodeArtifact1. | CodeArtifact les référentiels doivent être balisés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| CodeBuild1. | CodeBuild Le référentiel source de Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, v4.0.1, norme de gestion des services : PCI DSS AWS Control Tower | CRITICAL | Changement déclenché | |
| CodeBuild2. | CodeBuild les variables d'environnement du projet ne doivent pas contenir d'informations d'identification en texte clair | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, v4.0.1, norme de gestion des services : PCI DSS AWS Control Tower | CRITICAL | |
Changement déclenché |
| CodeBuild3. | CodeBuild Les journaux S3 doivent être chiffrés | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, norme de gestion des services :, AWS Control Tower | LOW | |
Changement déclenché |
| CodeBuild4. | CodeBuild les environnements de projet doivent avoir une configuration de journalisation | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| CodeBuild7. | CodeBuild les exportations de groupes de rapports doivent être cryptées au repos | AWS Bonnes pratiques de sécurité de base v1.0.0 | MEDIUM | Changement déclenché | |
| Config.1 | AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Meilleures pratiques de sécurité de AWS base v1.0.0, SP 800-53 Rev. 5, v3.2.1 NIST PCI DSS | CRITICAL | Périodique | |
| DataFirehose1. | Les flux de diffusion de Firehose doivent être chiffrés au repos | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Périodique |
| DataSync1. | DataSync la journalisation des tâches doit être activée | AWS Bonnes pratiques de sécurité de base v1.0.0 | MEDIUM | Changement déclenché | |
| Détective 1 | Les graphes de comportement des détectives doivent être balisés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| DMS1. | Les instances de réplication du Database Migration Service ne doivent pas être publiques | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, v4.0.1, norme de gestion des services : PCI DSS AWS Control Tower | CRITICAL | |
Périodique |
| DMS2. | DMSles certificats doivent être étiquetés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| DMS3. | DMSles abonnements aux événements doivent être étiquetés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| DMS4. | DMSles instances de réplication doivent être étiquetées | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| DMS5. | DMSles groupes de sous-réseaux de réplication doivent être balisés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| DMS6. | DMSla mise à niveau automatique des versions mineures doit être activée sur les instances de réplication | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Changement déclenché |
| DMS7. | DMSla journalisation des tâches de réplication pour la base de données cible doit être activée | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Changement déclenché |
| DMS8. | DMSla journalisation des tâches de réplication pour la base de données source doit être activée | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Changement déclenché |
| DMS9. | DMSles points de terminaison doivent utiliser SSL | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Changement déclenché |
| DMS.10 | DMSles points de terminaison des bases de données Neptune doivent avoir IAM l'autorisation activée | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | Changement déclenché | |
| DMS.11 | DMSles points de terminaison pour MongoDB doivent avoir un mécanisme d'authentification activé | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | Changement déclenché | |
| DMS.12 | DMSles points de terminaison pour Redis auraient OSS dû être activés TLS | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | Changement déclenché | |
| Document DB.1 | Les clusters Amazon DocumentDB doivent être chiffrés au repos | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, norme de gestion des services : AWS Control Tower | MEDIUM | |
Changement déclenché |
| Document DB.2 | Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS norme de gestion des services : AWS Control Tower | MEDIUM | |
Changement déclenché |
| Document DB.3 | Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | CRITICAL | |
Changement déclenché |
| Document DB.4 | Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Changement déclenché |
| Document DB.5 | La protection contre la suppression des clusters Amazon DocumentDB doit être activée | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Changement déclenché |
| DynamoDB.1 | Les tables DynamoDB doivent automatiquement adapter la capacité à la demande | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Périodique |
| DynamoDB.2 | La restauration des tables DynamoDB doit être activée point-in-time | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| DynamoDB.3 | Les clusters DynamoDB Accelerator DAX () doivent être chiffrés au repos | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Périodique |
| Dynamo DB.4 | Les tables DynamoDB doivent être présentes dans un plan de sauvegarde | NISTSP 800-53 Rév. 5 | MEDIUM | |
Périodique |
| Dynamo DB.5 | Les tables DynamoDB doivent être balisées | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| Dynamo DB.6 | La protection contre la suppression des tables DynamoDB doit être activée | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Changement déclenché |
| Dynamo DB.7 | Les clusters DynamoDB Accelerator doivent être chiffrés en transit | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | Périodique | |
| EC21. | EBSles instantanés ne doivent pas être restaurables publiquement | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, v3.2.1, SP 800-53 AWS Control Tower Rev. PCI DSS 5 NIST | CRITICAL | |
Périodique |
| EC22. | VPCles groupes de sécurité par défaut ne doivent pas autoriser le trafic entrant ou sortant | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, Service-Managed Standard :, PCI DSS v3.2.1, Foundations Benchmark v1.4.0 AWS Control Tower, SP 800-53 Rev. 5 CIS AWS NIST | HIGH | |
Changement déclenché |
| EC23. | EBSLes volumes attachés doivent être chiffrés au repos | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| EC24. | EC2Les instances arrêtées doivent être supprimées après une période spécifiée | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Périodique |
| EC26. | VPCla journalisation des flux doit être activée dans tous VPCs | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, Service-Managed Standard :, PCI DSS v3.2.1, Foundations Benchmark v1.4.0 AWS Control Tower, SP 800-53 Rev. 5 CIS AWS NIST | MEDIUM | |
Périodique |
| EC27. | EBSle chiffrement par défaut doit être activé | CIS AWS Foundations Benchmark v3.0.0, Meilleures pratiques de sécurité AWS fondamentales v1.0.0, Norme gérée par les services :, CIS AWS Foundations Benchmark v1.4.0 AWS Control Tower, SP 800-53 Rev. 5 NIST | MEDIUM | |
Périodique |
| EC28. | EC2les instances doivent utiliser le service de métadonnées d'instance version 2 (IMDSv2) | CIS AWS Foundations Benchmark v3.0.0, Meilleures pratiques de sécurité AWS fondamentales v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, norme de gestion des services : PCI DSS AWS Control Tower | HIGH | |
Changement déclenché |
| EC29. | EC2les instances ne doivent pas avoir d'IPv4adresse publique | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | HIGH | |
Changement déclenché |
| EC2.10 | Amazon EC2 doit être configuré pour utiliser les VPC points de terminaison créés pour le service Amazon EC2 | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Périodique |
| EC2.12 | Les articles non utilisés EC2 EIPs doivent être retirés | PCIDSSv3.2.1, NIST SP 800-53 Rév. 5 | LOW | |
Changement déclenché |
| EC2.13 | Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22 | CIS AWS Foundations Benchmark v1.2.0, PCI DSS v3.2.1, PCI DSS v4.0.1, SP 800-53 Rev. 5 NIST | HIGH | Changement déclenché et périodique | |
| EC2.14 | Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389 | CIS AWS Foundations Benchmark v1.2.0, v4.0.1 PCI DSS | HIGH | Changement déclenché et périodique | |
| EC2.15 | EC2les sous-réseaux ne doivent pas attribuer automatiquement d'adresses IP publiques | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, norme de gestion des services :, AWS Control Tower | MEDIUM | |
Changement déclenché |
| EC2.16 | Les listes de contrôle d'accès réseau non utilisées doivent être supprimées | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, norme de gestion des services :, AWS Control Tower | LOW | |
Changement déclenché |
| EC2.17 | EC2les instances ne doivent pas utiliser plusieurs ENIs | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | LOW | |
Changement déclenché |
| EC2.18 | Les groupes de sécurité ne doivent autoriser le trafic entrant illimité que pour les ports autorisés | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | HIGH | |
Changement déclenché |
| EC2.19 | Les groupes de sécurité ne doivent pas autoriser un accès illimité aux ports présentant un risque élevé | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | CRITICAL | Changement déclenché et périodique | |
| EC2.20 | Les deux VPN tunnels d'une AWS Site-to-Site VPN connexion doivent être actifs | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| EC2.21 | ACLsLe réseau ne doit pas autoriser l'entrée de 0.0.0.0/0 vers le port 22 ou le port 3389 | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, AWS Foundational Security Best Practices v1.0.0, Service Géré Standard : SP 800-53 Rev. 5, v4.0.1 AWS Control Tower NIST PCI DSS | MEDIUM | |
Changement déclenché |
| EC22.2 | Les groupes EC2 de sécurité non utilisés doivent être supprimés | Norme de gestion des services : AWS Control Tower | MEDIUM | Périodique | |
| EC2.23 | EC2Les passerelles de transit ne doivent pas accepter automatiquement les demandes de VPC pièces jointes | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | HIGH | |
Changement déclenché |
| EC22.4 | EC2les types d'instance paravirtuels ne doivent pas être utilisés | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Changement déclenché |
| EC2.25 | EC2les modèles de lancement ne doivent pas attribuer IPs de public aux interfaces réseau | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS norme de gestion des services : AWS Control Tower | HIGH | |
Changement déclenché |
| EC2.28 | EBSles volumes doivent figurer dans un plan de sauvegarde | NISTSP 800-53 Rév. 5 | LOW | |
Périodique |
| EC23.3 | EC2les pièces jointes des passerelles de transit doivent être étiquetées | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| EC2.34 | EC2les tables de routage des passerelles de transit doivent être étiquetées | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| EC2.35 | EC2les interfaces réseau doivent être étiquetées | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| EC2.36 | EC2les passerelles client doivent être étiquetées | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| EC2.37 | EC2Les adresses IP élastiques doivent être balisées | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| EC2.38 | EC2les instances doivent être étiquetées | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| EC2.39 | EC2les passerelles Internet doivent être étiquetées | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| EC2.40 | EC2NATles passerelles doivent être étiquetées | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| EC2.41 | EC2le réseau ACLs doit être étiqueté | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| EC24.2 | EC2les tables de routage doivent être étiquetées | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| EC24.3 | EC2les groupes de sécurité doivent être balisés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| EC2.44 | EC2les sous-réseaux doivent être balisés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| EC2.45 | EC2les volumes doivent être balisés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| EC2.46 | Amazon VPCs doit être tagué | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| EC24,7 | Les services Amazon VPC Endpoint doivent être balisés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| EC2.48 | Les journaux VPC de flux Amazon doivent être balisés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| EC24,9 | Les connexions VPC de peering Amazon doivent être étiquetées | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| EC25,0 | EC2VPNles passerelles doivent être étiquetées | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| EC25.1 | EC2La journalisation des connexions client doit être activée sur les VPN points de terminaison clients | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | LOW | |
Changement déclenché |
| EC25.2 | EC2les passerelles de transit devraient être étiquetées | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| EC25.3 | EC2les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers les ports d'administration des serveurs distants | CIS AWS Foundations Benchmark v3.0.0, v4.0.1 PCI DSS | HIGH | Périodique | |
| EC2.54 | EC2les groupes de sécurité ne doivent pas autoriser l'entrée depuis : :/0 vers les ports d'administration du serveur distant | CIS AWS Foundations Benchmark v3.0.0, v4.0.1 PCI DSS | HIGH | Périodique | |
| EC2.55 | VPCsdoit être configuré avec un point de terminaison d'interface pour ECR API | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Périodique | |
| EC2.56 | VPCsdoit être configuré avec un point de terminaison d'interface pour Docker Registry | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Périodique | |
| EC25,7 | VPCsdoit être configuré avec un point de terminaison d'interface pour Systems Manager | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Périodique | |
| EC2.58 | VPCsdoit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Périodique | |
| EC2.60 | VPCsdoit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Périodique | |
| EC26.1 | VPCsdoit être configuré avec un point de terminaison d'interface pour la configuration rapide de Systems Manager | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Périodique | |
| EC26,2 | VPCsdoit être configuré avec un point de terminaison d'interface pour les CloudWatch journaux | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Périodique | |
| EC26,3 | VPCsdoit être configuré avec un point de terminaison d'interface pour les messages de Systems Manager | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Périodique | |
| EC26,4 | VPCsdoit être configuré avec un point de terminaison d'interface pour le service de livraison de messages | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Périodique | |
| EC2.65 | VPCsdoit être configuré avec un point de terminaison d'interface pour Secrets Manager | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Périodique | |
| EC2.66 | VPCsdoit être configuré avec un point de terminaison d'interface pour API Gateway | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Périodique | |
| EC26,7 | VPCsdoit être configuré avec un point de terminaison d'interface pour CloudWatch | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Périodique | |
| EC26,8 | VPCsdoit être configuré avec un point de terminaison d'interface pour AWS KMS | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Périodique | |
| EC2.69 | VPCsdoit être configuré avec un point de terminaison d'interface pour SQS | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Périodique | |
| EC27,0 | VPCsdoit être configuré avec un point de terminaison d'interface pour STS | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Périodique | |
| EC27.1 | VPCsdoit être configuré avec un point de terminaison d'interface pour SNS | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Périodique | |
| EC27.2 | VPCsdoit être configuré avec un point de terminaison d'interface pour S3 | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Périodique | |
| EC27,3 | VPCsdoit être configuré avec un point de terminaison d'interface pour Lambda | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Périodique | |
| EC27,4 | VPCsdoit être configuré avec un point de terminaison d'interface pour ECS | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Périodique | |
| EC27,5 | VPCsdoit être configuré avec un point de terminaison d'interface pour Elastic Load Balancing | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Périodique | |
| EC2.76 | VPCsdoit être configuré avec un point de terminaison d'interface pour CloudFormation | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Périodique | |
| EC27,7 | VPCsdoit être configuré avec un point de terminaison d'interface pour EventBridge | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Périodique | |
| EC27,8 | VPCsdoit être configuré avec un point de terminaison d'interface pour EC2 Auto Scaling | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Périodique | |
| EC27,9 | VPCsdoit être configuré avec un point de terminaison d'interface pour l' SageMaker IA API | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Périodique | |
| EC28,0 | VPCsdoit être configuré avec un point de terminaison d'interface pour SageMaker AI Feature Store Runtime | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Périodique | |
| EC28,1 | VPCsdoit être configuré avec un point de terminaison d'interface pour le service SageMaker AI Metrics | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Périodique | |
| EC28,2 | VPCsdoit être configuré avec un point de terminaison d'interface pour SageMaker AI Runtime | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Périodique | |
| EC28,3 | VPCsdoit être configuré avec un point de terminaison d'interface pour SageMaker AI Runtime pour FIPS | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Périodique | |
| EC28,4 | VPCsdoit être configuré avec un point de terminaison d'interface pour ordinateur portable SageMaker AI | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Périodique | |
| EC2.85 | VPCsdoit être configuré avec un point de terminaison d'interface pour SageMaker AI Studio | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Périodique | |
| EC28,6 | VPCsdoit être configuré avec un point de terminaison d'interface pour AWS Glue | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC28,7 | VPCsdoit être configuré avec un point de terminaison d'interface pour Kinesis Data Streams | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC28,8 | VPCsdoit être configuré avec un point de terminaison d'interface pour Transfer Family pour SFTP | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC28,9 | VPCsdoit être configuré avec un point de terminaison d'interface pour CloudTrail | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC29,0 | VPCsdoit être configuré avec un point de terminaison d'interface pour RDS | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC29.1 | VPCsdoit être configuré avec un point de terminaison d'interface pour ECS l'agent | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC29,2 | VPCsdoit être configuré avec un point de terminaison d'interface pour la ECS télémétrie | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC29,3 | VPCsdoit être configuré avec un point de terminaison d'interface pour GuardDuty | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC29,4 | VPCsdoit être configuré avec un point de terminaison d'interface pour SES | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC29,5 | VPCsdoit être configuré avec un point de terminaison d'interface pour EFS | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC29,6 | VPCsdoit être configuré avec un point de terminaison d'interface pour Athena | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC29,7 | VPCsdoit être configuré avec un point de terminaison d'interface pour Firehose | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC29,8 | VPCsdoit être configuré avec un point de terminaison d'interface pour Step Functions | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC29,9 | VPCsdoit être configuré avec un point de terminaison d'interface pour Storage Gateway | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,100 | VPCsdoit être configuré avec un point de terminaison d'interface pour Amazon MWAA | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,101 | VPCsdoit être configuré avec un point de terminaison d'interface pour Amazon MWAA pour FIPS | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,102 | VPCsdoit être configuré avec un point de terminaison d'interface pour MWAA l'environnement Amazon | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,103 | VPCsdoit être configuré avec un point de terminaison d'interface pour MWAA FIPS l'environnement Amazon | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,104 | VPCsdoit être configuré avec un point de terminaison d'interface pour MWAA l'opérateur Amazon | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,105 | VPCsdoit être configuré avec un point de terminaison d'interface pour DataSync | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,106 | VPCsdoit être configuré avec un point de terminaison d'interface pour CodePipeline | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,107 | VPCsdoit être configuré avec un point de terminaison d'interface pour EKS | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,108 | VPCsdoit être configuré avec un point de terminaison d'interface pour EBS direct APIs | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,109 | VPCsdoit être configuré avec un point de terminaison d'interface pour CodeCommit | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,110 | VPCsdoit être configuré avec un point de terminaison d'interface pour X-Ray | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC21,11 | VPCsdoit être configuré avec un point de terminaison d'interface pour CodeBuild | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,112 | VPCsdoit être configuré avec un point de terminaison d'interface pour AWS Config | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,113 | VPCsdoit être configuré avec un point de terminaison d'interface pour les RDS données API | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,114 | VPCsdoit être configuré avec un point de terminaison d'interface pour Service Catalog | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,115 | VPCsdoit être configuré avec un point de terminaison d'interface pour Amazon EMR | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,116 | VPCsdoit être configuré avec un point de terminaison d'interface pour CodeCommit | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,117 | VPCsdoit être configuré avec un point de terminaison d'interface pour App Mesh | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,118 | VPCsdoit être configuré avec un point de terminaison d'interface pour Elastic Beanstalk | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,119 | VPCsdoit être configuré avec un point de terminaison d'interface pour AWS Private CA | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,120 | VPCsdoit être configuré avec un point de terminaison d'interface pour ElastiCache | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,121 | VPCsdoit être configuré avec un point de terminaison d'interface pour CodeArtifact API | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,122 | VPCsdoit être configuré avec un point de terminaison d'interface pour les CodeArtifact référentiels | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,123 | VPCsdoit être configuré avec un point de terminaison d'interface pour Amazon Redshift | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,124 | VPCsdoit être configuré avec un point de terminaison d'interface pour CodeDeploy | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,125 | VPCsdoit être configuré avec un point de terminaison d'interface pour Amazon Managed Service for Prometheus | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,126 | VPCsdoit être configuré avec un point de terminaison d'interface pour Application Auto Scaling | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,127 | VPCsdoit être configuré avec un point de terminaison d'interface pour les points d'accès multirégionaux S3 | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,128 | VPCsdoit être configuré avec un point de terminaison d'interface pour AMB Query | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,129 | VPCsdoit être configuré avec un point de terminaison d'interface pour AMB Access Bitcoin | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,130 | VPCsdoit être configuré avec un point de terminaison d'interface pour AMB Bitcoin Testnet | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,131 | VPCsdoit être configuré avec un point de terminaison d'interface pour EFS | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,132 | VPCsdoit être configuré avec un point de terminaison d'interface pour AWS Backup | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,133 | VPCsdoit être configuré avec un point de terminaison d'interface pour DMS | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,134 | VPCsdoit être configuré avec un point de terminaison d'interface pour CodeDeploy | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,135 | VPCsdoit être configuré avec un point de terminaison d'interface pour Amazon AppStream API | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,136 | VPCsdoit être configuré avec un point de terminaison d'interface pour Amazon AppStream Streaming | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,137 | VPCsdoit être configuré avec un point de terminaison d'interface pour Elastic Beanstalk | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,138 | VPCsdoit être configuré avec un point de terminaison d'interface pour AWS CodeConnections API | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,139 | VPCsdoit être configuré avec un point de terminaison d'interface pour les AWS CodeStar connexions API | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,140 | VPCsdoit être configuré avec un point de terminaison d'interface pour Amazon Redshift Data API | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,141 | VPCsdoit être configuré avec un point de terminaison d'interface pour Amazon Textract | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,142 | VPCsdoit être configuré avec un point de terminaison d'interface pour Keyspaces | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,143 | VPCsdoit être configuré avec un point de terminaison d'interface pour AWS MGN | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,144 | VPCsdoit être configuré avec un point de terminaison d'interface pour Image Builder | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,145 | VPCsdoit être configuré avec un point de terminaison d'interface pour Step Functions | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,146 | VPCsdoit être configuré avec un point de terminaison d'interface pour Auto Scaling | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,147 | VPCsdoit être configuré avec un point de terminaison d'interface pour Amazon Bedrock | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,148 | VPCsdoit être configuré avec un point de terminaison d'interface pour Batch | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,149 | VPCsdoit être configuré avec un point de terminaison d'interface pour Amazon EKS | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,150 | VPCsdoit être configuré avec un point de terminaison d'interface pour Amazon Comprehend | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,151 | VPCsdoit être configuré avec un point de terminaison d'interface pour App Runner | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,152 | VPCsdoit être configuré avec un point de terminaison d'interface pour EMR Serverless | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,153 | VPCsdoit être configuré avec un point de terminaison d'interface pour Lake Formation | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,154 | VPCsdoit être configuré avec un point de terminaison d'interface pour Amazon FSx | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,155 | VPCsdoit être configuré avec un point de terminaison d'interface pour Amazon EMR sur EKS | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,156 | VPCsdoit être configuré avec un point de terminaison d'interface pour les données de base de l'IoT | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,157 | VPCsdoit être configuré avec un point de terminaison d'interface pour les informations d'identification de base de l'IoT | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,158 | VPCsdoit être configuré avec un point de terminaison d'interface pour IoT Core Fleet Hub | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,159 | VPCsdoit être configuré avec un point de terminaison d'interface pour Elastic Disaster Recovery | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,160 | VPCsdoit être configuré avec un point de terminaison d'interface pour le cloud HSM | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,161 | VPCsdoit être configuré avec un point de terminaison d'interface pour Amazon Rekognition | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,162 | VPCsdoit être configuré avec un point de terminaison d'interface pour Amazon Managed Service for Prometheus | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,163 | VPCsdoit être configuré avec un point de terminaison d'interface pour Elastic Inference Runtime | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,164 | VPCsdoit être configuré avec un point de terminaison d'interface pour CloudWatch | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,165 | VPCsdoit être configuré avec un point de terminaison d'interface pour Amazon Bedrock | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,166 | VPCsdoit être configuré avec un point de terminaison d'interface pour Security Hub | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,167 | VPCsdoit être configuré avec un point de terminaison d'interface pour DynamoDB | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,168 | VPCsdoit être configuré avec un point de terminaison d'interface pour Access Analyzer | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,169 | VPCsdoit être configuré avec un point de terminaison d'interface pour Amazon Transcribe Medical | NISTSP 800-53 Rév. 5 | MEDIUM | Périodique | |
| EC2,170 | EC2les modèles de lancement doivent utiliser le service de métadonnées d'instance version 2 (IMDSv2) | AWS Bonnes pratiques de sécurité de base v1.0.0, v4.0.1 PCI DSS | LOW | Changement déclenché | |
| EC2,171 | EC2VPNla journalisation des connexions doit être activée | AWS Bonnes pratiques de sécurité de base v1.0.0, v4.0.1 PCI DSS | MEDIUM | Changement déclenché | |
| ECR1. | ECRla numérisation des images doit être configurée dans les référentiels privés | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS norme de gestion des services : AWS Control Tower | HIGH | |
Périodique |
| ECR2. | ECRles référentiels privés doivent avoir l'immuabilité des balises configurée | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| ECR3. | ECRles référentiels doivent avoir au moins une politique de cycle de vie configurée | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| ECR4. | ECRles référentiels publics doivent être balisés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| ECS1. | Les définitions de ECS tâches Amazon doivent comporter des modes réseau et des définitions d'utilisateur sécurisés. | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | HIGH | |
Changement déclenché |
| ECS2. | ECSaucune adresse IP publique ne doit être attribuée automatiquement aux services | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS norme de gestion des services : AWS Control Tower | HIGH | |
Changement déclenché |
| ECS3. | ECSles définitions de tâches ne doivent pas partager l'espace de noms de processus de l'hôte | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | HIGH | |
Changement déclenché |
| ECS4. | ECSles conteneurs doivent fonctionner comme des conteneurs non privilégiés | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | HIGH | |
Changement déclenché |
| ECS5. | ECSles conteneurs doivent être limités à un accès en lecture seule aux systèmes de fichiers racine | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | HIGH | |
Changement déclenché |
| ECS8. | Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS norme de gestion des services : AWS Control Tower | HIGH | |
Changement déclenché |
| ECS9. | ECSles définitions de tâches doivent avoir une configuration de journalisation | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | HIGH | |
Changement déclenché |
| ECS.10 | ECSLes services Fargate doivent fonctionner sur la dernière version de la plateforme Fargate | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS norme de gestion des services : AWS Control Tower | MEDIUM | |
Changement déclenché |
| ECS.12 | ECSles clusters doivent utiliser Container Insights | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| ECS.13 | ECSles services doivent être étiquetés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| ECS.14 | ECSles clusters doivent être étiquetés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| ECS.15 | ECSles définitions de tâches doivent être étiquetées | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| ECS.16 | ECSles ensembles de tâches ne doivent pas attribuer automatiquement d'adresses IP publiques | AWS Bonnes pratiques de sécurité de base v1.0.0, v4.0.1 PCI DSS | HIGH | Changement déclenché | |
| EFS1. | Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS | CIS AWS Foundations Benchmark v3.0.0, Meilleures pratiques de sécurité AWS fondamentales v1.0.0, norme de gestion des services : SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Périodique |
| EFS2. | EFSLes volumes Amazon doivent figurer dans des plans de sauvegarde | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Périodique |
| EFS3. | EFSles points d'accès doivent appliquer un répertoire racine | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| EFS4. | EFSles points d'accès doivent renforcer l'identité de l'utilisateur | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS norme de gestion des services : AWS Control Tower | MEDIUM | |
Changement déclenché |
| EFS5. | EFSles points d'accès doivent être étiquetés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| EFS6. | EFSles cibles de montage ne doivent pas être associées à un sous-réseau public | AWS Bonnes pratiques de sécurité de base v1.0.0 | MEDIUM | Périodique | |
| EFS7. | EFSles sauvegardes automatiques des systèmes de fichiers doivent être activées | AWS Bonnes pratiques de sécurité de base v1.0.0 | MEDIUM | Changement déclenché | |
| EFS8. | EFSles systèmes de fichiers doivent être chiffrés au repos | AWS Bonnes pratiques de sécurité de base v1.0.0 | MEDIUM | Changement déclenché | |
| EKS1. | EKSles points de terminaison du cluster ne doivent pas être accessibles au public | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | HIGH | |
Périodique |
| EKS2. | EKSles clusters doivent fonctionner sur une version de Kubernetes prise en charge | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS norme de gestion des services : AWS Control Tower | HIGH | |
Changement déclenché |
| EKS3. | EKSles clusters doivent utiliser des secrets Kubernetes chiffrés | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | Périodique | |
| EKS6. | EKSles clusters doivent être étiquetés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| EKS7. | EKSles configurations du fournisseur d'identité doivent être étiquetées | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| EKS8. | EKSla journalisation des audits doit être activée sur les clusters | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Changement déclenché |
| ElastiCache1. | ElastiCache Les sauvegardes automatiques des clusters (RedisOSS) doivent être activées | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | HIGH | |
Périodique |
| ElastiCache2. | ElastiCache Les mises à niveau automatiques des versions mineures des clusters (RedisOSS) doivent être activées | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | HIGH | |
Périodique |
| ElastiCache3. | ElastiCache le basculement automatique doit être activé pour les groupes de réplication | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Périodique |
| ElastiCache4. | ElastiCache les groupes de réplication doivent être encrypted-at-rest | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Périodique |
| ElastiCache5. | ElastiCache les groupes de réplication doivent être encrypted-in-transit | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Périodique |
| ElastiCache6. | ElastiCache Redis doit être activé sur les groupes de réplication (Redis OSS OSSAUTH) des versions antérieures | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Périodique |
| ElastiCache7. | ElastiCache les clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | HIGH | |
Périodique |
| ElasticBeanstalk1. | Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | LOW | |
Changement déclenché |
| ElasticBeanstalk2. | Les mises à jour de la plateforme gérée Elastic Beanstalk doivent être activées | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS norme de gestion des services : AWS Control Tower | HIGH | |
Changement déclenché |
| ElasticBeanstalk3. | Elastic Beanstalk devrait diffuser les logs vers CloudWatch | AWS Bonnes pratiques de sécurité de base v1.0.0, v4.0.1 PCI DSS | HIGH | |
Changement déclenché |
| ELB1. | Application Load Balancer doit être configuré pour rediriger toutes les HTTP demandes vers HTTPS | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, v3.2.1, SP 800-53 AWS Control Tower Rev. PCI DSS 5 NIST | MEDIUM | |
Périodique |
| ELB2. | Les équilibreurs de charge classiques avecSSL/HTTPSlisteners doivent utiliser un certificat fourni par AWS Certificate Manager | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| ELB3. | Les écouteurs Classic Load Balancer doivent être configurés avec ou être terminés HTTPS TLS | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS norme de gestion des services : AWS Control Tower | MEDIUM | |
Changement déclenché |
| ELB4. | Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS norme de gestion des services : AWS Control Tower | MEDIUM | |
Changement déclenché |
| ELB5. | La journalisation des applications et des équilibreurs de charge classiques doit être activée | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| ELB6. | La protection contre les suppressions doit être activée sur les équilibreurs de charge des applications, des passerelles et du réseau | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | Changement déclenché | |
| ELB7. | Le drainage des connexions doit être activé sur les équilibreurs de charge classiques | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| ELB8. | Les équilibreurs de charge classiques dotés d'SSLécouteurs doivent utiliser une politique de sécurité prédéfinie dotée d'une configuration solide | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS norme de gestion des services : AWS Control Tower | MEDIUM | |
Changement déclenché |
| ELB9. | L'équilibrage de charge entre zones doit être activé sur les équilibreurs de charge classiques | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| ELB.10 | Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| ELB.12 | Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS norme de gestion des services : AWS Control Tower | MEDIUM | |
Changement déclenché |
| ELB.13 | Les équilibreurs de charge des applications, du réseau et des passerelles doivent couvrir plusieurs zones de disponibilité | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| ELB.14 | Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict. | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS norme de gestion des services : AWS Control Tower | MEDIUM | |
Changement déclenché |
| ELB.16 | Les équilibreurs de charge des applications doivent être associés à un site Web AWS WAF ACL | NISTSP 800-53 Rév. 5 | MEDIUM | |
Changement déclenché |
| EMR1. | Les nœuds principaux EMR du cluster Amazon ne doivent pas avoir d'adresses IP publiques | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS norme de gestion des services : AWS Control Tower | HIGH | |
Périodique |
| EMR2. | Le paramètre de EMR blocage de l'accès public à Amazon doit être activé | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | CRITICAL | |
Périodique |
| ES.1 | Le chiffrement au repos doit être activé dans les domaines Elasticsearch | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, v3.2.1, SP 800-53 AWS Control Tower Rev. PCI DSS 5 NIST | MEDIUM | |
Périodique |
| ES.2 | Les domaines Elasticsearch ne doivent pas être accessibles au public | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 Rev. 5, norme de gestion des services : AWS Control Tower | CRITICAL | |
Périodique |
| ES.3 | Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, norme de gestion des services :, AWS Control Tower | MEDIUM | |
Changement déclenché |
| ES.4 | La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| ES.5 | La journalisation des audits doit être activée dans les domaines Elasticsearch | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, norme de gestion des services : AWS Control Tower | MEDIUM | |
Changement déclenché |
| ES.6 | Les domaines Elasticsearch doivent comporter au moins trois nœuds de données | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| ES.7 | Les domaines Elasticsearch doivent être configurés avec au moins trois nœuds maîtres dédiés | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| ES.8 | Les connexions aux domaines Elasticsearch doivent être chiffrées conformément à la dernière politique de sécurité TLS | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS norme de gestion des services : AWS Control Tower | MEDIUM | Changement déclenché | |
| ES.9 | Les domaines Elasticsearch doivent être balisés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| EventBridge2. | EventBridge les bus d'événements doivent être étiquetés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| EventBridge3. | EventBridge les bus d'événements personnalisés doivent être associés à une politique basée sur les ressources | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | LOW | |
Changement déclenché |
| EventBridge4. | EventBridge la réplication des événements doit être activée sur les points de terminaison globaux | NISTSP 800-53 Rév. 5 | MEDIUM | |
Changement déclenché |
| FSx1. | FSxpour les systèmes de ZFS fichiers ouverts doivent être configurés pour copier les balises vers les sauvegardes et les volumes | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | LOW | |
Périodique |
| FSx2. | FSxpour Lustre, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | LOW | Périodique | |
| Colle.1 | AWS Glue les emplois doivent être étiquetés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| Colle.2 | AWS Glue la journalisation des tâches doit être activée | AWS Bonnes pratiques de sécurité de base v1.0.0 | MEDIUM | Changement déclenché | |
| Colle.3 | AWS Glue les transformations de machine learning doivent être cryptées au repos | AWS Bonnes pratiques de sécurité de base v1.0.0 | MEDIUM | Changement déclenché | |
| GlobalAccelerator1. | Les accélérateurs Global Accelerator doivent être étiquetés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| GuardDuty1. | GuardDuty doit être activé | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, v4.0.1, norme de gestion des services : PCI DSS AWS Control Tower | HIGH | |
Périodique |
| GuardDuty2. | GuardDuty les filtres doivent être étiquetés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| GuardDuty3. | GuardDuty IPSetsdoit être étiqueté | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| GuardDuty4. | GuardDuty les détecteurs doivent être étiquetés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| GuardDuty5. | GuardDuty EKSLa surveillance du journal d'audit doit être activée | AWS Bonnes pratiques de sécurité de base v1.0.0 | HIGH | Périodique | |
| GuardDuty6. | GuardDuty La protection Lambda doit être activée | AWS Bonnes pratiques de sécurité de base v1.0.0, v4.0.1 PCI DSS | HIGH | Périodique | |
| GuardDuty7. | GuardDuty EKSLa surveillance du temps d'exécution doit être activée | AWS Bonnes pratiques de sécurité de base v1.0.0, v4.0.1 PCI DSS | MEDIUM | Périodique | |
| GuardDuty8. | GuardDuty La protection contre les logiciels malveillants EC2 doit être activée | AWS Bonnes pratiques de sécurité de base v1.0.0 | HIGH | Périodique | |
| GuardDuty9. | GuardDuty RDSLa protection doit être activée | AWS Bonnes pratiques de sécurité de base v1.0.0, v4.0.1 PCI DSS | HIGH | Périodique | |
| GuardDuty.10 | GuardDuty La protection S3 doit être activée | AWS Bonnes pratiques de sécurité de base v1.0.0, v4.0.1 PCI DSS | HIGH | Périodique | |
| IAM1. | IAMles politiques ne doivent pas autoriser tous les privilèges administratifs « * » | CIS AWS Foundations Benchmark v1.2.0, Meilleures pratiques de sécurité AWS fondamentales v1.0.0, norme gérée par les services :, PCI DSS v3.2.1, Foundations Benchmark AWS Control Tower v1.4.0, SP 800-53 Rev. 5 CIS AWS NIST | HIGH | |
Changement déclenché |
| IAM2. | IAMles utilisateurs ne doivent pas avoir IAM de politiques associées | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, Service-Managed Standard :, v3.2.1, SP 800-53 Rev. 5 AWS Control Tower PCI DSS NIST | LOW | |
Changement déclenché |
| IAM3. | IAMles clés d'accès des utilisateurs doivent être renouvelées tous les 90 jours ou moins | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Foundations Benchmark v1.2.0, CIS AWS AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, norme gérée par les services : PCI DSS AWS Control Tower | MEDIUM | |
Périodique |
| IAM4. | IAMla clé d'accès utilisateur root ne doit pas exister | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Foundations Benchmark v1.2.0, CIS AWS AWS Foundational Security Best Practices v1.0.0, Service-Managed Standard :, v3.2.1, SP 800-53 Rev. 5 AWS Control Tower PCI DSS NIST | CRITICAL | |
Périodique |
| IAM5. | MFAdoit être activé pour tous les IAM utilisateurs disposant d'un mot de passe de console | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Foundations Benchmark v1.2.0, CIS AWS AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, norme gérée par les services : PCI DSS AWS Control Tower | MEDIUM | |
Périodique |
| IAM6. | Le matériel MFA doit être activé pour l'utilisateur root | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Foundations Benchmark v1.2.0, CIS AWS AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, v3.2.1, v4.0.1, norme gérée par les services : PCI DSS PCI DSS AWS Control Tower | CRITICAL | |
Périodique |
| IAM7. | Les politiques de mot de passe pour IAM les utilisateurs doivent avoir des configurations solides | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS norme de gestion des services : AWS Control Tower | MEDIUM | |
Périodique |
| IAM8. | Les informations IAM d'identification utilisateur non utilisées doivent être supprimées | CIS AWS Foundations Benchmark v1.2.0, Meilleures pratiques de sécurité AWS fondamentales v1.0.0, NIST SP 800-53 Rev. 5, v3.2.1, PCI DSS v4.0.1, norme de gestion des services : PCI DSS AWS Control Tower | MEDIUM | |
Périodique |
| IAM9. | MFAdoit être activé pour l'utilisateur root | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-53 Rev. 5, v3.2.1, v4.0.1 PCI DSS PCI DSS | CRITICAL | |
Périodique |
| IAM.10 | Les politiques de mot de passe pour IAM les utilisateurs doivent avoir des configurations solides | PCIDSSv3.2.1, v4.0.1 PCI DSS | MEDIUM | |
Périodique |
| IAM.11 | Assurez-vous que la politique de IAM mot de passe nécessite au moins une lettre majuscule | CIS AWS Foundations Benchmark v1.2.0, v4.0.1 PCI DSS | MEDIUM | |
Périodique |
| IAM.12 | Assurez-vous que la politique de IAM mot de passe nécessite au moins une lettre minuscule | CIS AWS Foundations Benchmark v1.2.0, v4.0.1 PCI DSS | MEDIUM | |
Périodique |
| IAM.13 | Assurez-vous que la politique de IAM mot de passe nécessite au moins un symbole | CIS AWS Foundations Benchmark v1.2.0, v4.0.1 PCI DSS | MEDIUM | |
Périodique |
| IAM.14 | Assurez-vous que la politique de IAM mot de passe nécessite au moins un chiffre | CIS AWS Foundations Benchmark v1.2.0, v4.0.1 PCI DSS | MEDIUM | |
Périodique |
| IAM.15 | Assurez-vous que la politique IAM de mot de passe exige une longueur de mot de passe minimale de 14 ou plus | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0 | MEDIUM | |
Périodique |
| IAM.16 | Assurez-vous que la politique des IAM mots de passe empêche leur réutilisation | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Foundations Benchmark v1.2.0, CIS AWS v4.0.1 PCI DSS | LOW | |
Périodique |
| IAM.17 | Assurez-vous que la politique IAM de mot de passe expire les mots de passe dans un délai de 90 jours ou moins | CIS AWS Foundations Benchmark v1.2.0, v4.0.1 PCI DSS | LOW | |
Périodique |
| IAM.18 | Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Foundations Benchmark v1.2.0, CIS AWS v4.0.1 PCI DSS | LOW | |
Périodique |
| IAM.19 | MFAdoit être activé pour tous les IAM utilisateurs | NISTSP 800-53 Rév. 5, PCI DSS v3.2.1, v4.0.1 PCI DSS | MEDIUM | |
Périodique |
| IAM.21 | IAMles politiques gérées par le client que vous créez ne doivent pas autoriser les actions génériques pour les services | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | LOW | |
Changement déclenché |
| IAM2.2 | IAMles informations d'identification utilisateur non utilisées pendant 45 jours doivent être supprimées | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0 | MEDIUM | |
Périodique |
| IAM.23 | IAMLes analyseurs Access Analyzer doivent être étiquetés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| IAM2.4 | IAMles rôles doivent être balisés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| IAM.25 | IAMles utilisateurs doivent être tagués | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| IAM.26 | SSLTLSExpiré/les certificats gérés dans IAM devraient être supprimés | CIS AWS Foundations Benchmark v3.0.0 | MEDIUM | Périodique | |
| IAM.27 | IAMla AWSCloudShellFullAccess politique ne doit pas être attachée aux identités | CIS AWS Foundations Benchmark v3.0.0 | MEDIUM | Changement déclenché | |
| IAM.28 | IAML'analyseur d'accès externe Access Analyzer doit être activé | CIS AWS Foundations Benchmark v3.0.0 | HIGH | Périodique | |
| Inspecteur.1 | Le EC2 scan Amazon Inspector doit être activé | AWS Bonnes pratiques de sécurité de base v1.0.0, v4.0.1 PCI DSS | HIGH | Périodique | |
| Inspecteur 2 | Le ECR scan Amazon Inspector doit être activé | AWS Bonnes pratiques de sécurité de base v1.0.0, v4.0.1 PCI DSS | HIGH | Périodique | |
| Inspecteur.3 | La numérisation du code Lambda par Amazon Inspector doit être activée | AWS Bonnes pratiques de sécurité de base v1.0.0, v4.0.1 PCI DSS | HIGH | Périodique | |
| Inspecteur.4 | Le scan standard Amazon Inspector Lambda doit être activé | AWS Bonnes pratiques de sécurité de base v1.0.0, v4.0.1 PCI DSS | HIGH | Périodique | |
| IoT.1 | AWS IoT Device Defender les profils de sécurité doivent être balisés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| IoT 2 | AWS IoT Core les mesures d'atténuation doivent être étiquetées | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| IoT. 3 | AWS IoT Core les dimensions doivent être étiquetées | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| IoT 4 | AWS IoT Core les autorisateurs doivent être étiquetés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| Internet des objets 5 | AWS IoT Core les alias de rôle doivent être balisés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| IoT .6 | AWS IoT Core les politiques doivent être étiquetées | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| Kinesis.1 | Les flux Kinesis doivent être chiffrés au repos | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| Kinése.2 | Les flux Kinesis doivent être balisés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| Kinése.3 | Kinesis Streams doit avoir une période de conservation des données adéquate | AWS Bonnes pratiques de sécurité de base v1.0.0 | MEDIUM | Changement déclenché | |
| KMS1. | IAMles politiques gérées par le client ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| KMS2. | IAMles principaux ne doivent pas avoir de politiques IAM intégrées autorisant les actions de déchiffrement sur toutes les clés KMS | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| KMS3. | AWS KMS keys ne doit pas être supprimé par inadvertance | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | CRITICAL | |
Changement déclenché |
| KMS4. | AWS KMS key la rotation doit être activée | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-53 Rev. 5, v3.2.1, v4.0.1 PCI DSS PCI DSS | MEDIUM | |
Périodique |
| KMS5. | KMSles clés ne doivent pas être accessibles au public | AWS Bonnes pratiques de sécurité de base v1.0.0 | CRITICAL | Changement déclenché | |
| Lambda.1 | Les politiques relatives à la fonction Lambda devraient interdire l'accès public | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, v4.0.1, norme de gestion des services : PCI DSS AWS Control Tower | CRITICAL | |
Changement déclenché |
| Lambda.2 | Les fonctions Lambda doivent utiliser des environnements d'exécution pris en charge | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS norme de gestion des services : AWS Control Tower | MEDIUM | |
Changement déclenché |
| Lambda.3 | Les fonctions Lambda doivent être dans un VPC | PCIDSSv3.2.1, NIST SP 800-53 Rév. 5 | LOW | |
Changement déclenché |
| Lambda.5 | VPCLes fonctions Lambda doivent fonctionner dans plusieurs zones de disponibilité | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| Lambda 6 | Les fonctions Lambda doivent être étiquetées | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| Macie.1 | Amazon Macie devrait être activé | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Périodique |
| Macie 2 | La découverte automatique des données sensibles par Macie doit être activée | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | HIGH | Périodique | |
| MSK1. | MSKles clusters doivent être chiffrés lors du transit entre les nœuds du courtier | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Changement déclenché |
| MSK2. | MSKles clusters doivent avoir une surveillance améliorée configurée | NISTSP 800-53 Rév. 5 | LOW | |
Changement déclenché |
| MSK3. | MSKLes connecteurs Connect doivent être chiffrés pendant le transport | AWS Bonnes pratiques de sécurité de base v1.0.0, v4.0.1 PCI DSS | MEDIUM | Changement déclenché | |
| MQ.2 | Les courtiers ActiveMQ doivent diffuser les journaux d'audit à CloudWatch | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | Changement déclenché | |
| MQ.3 | Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | LOW | Changement déclenché | |
| MQ.4 | Les courtiers Amazon MQ doivent être étiquetés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| MQ.5 | Les courtiers ActiveMQ doivent utiliser le mode de déploiement actif/en veille | NISTSP 800-53 Rev. 5, norme de gestion des services : AWS Control Tower | LOW | |
Changement déclenché |
| MQ.6 | Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster | NISTSP 800-53 Rev. 5, norme de gestion des services : AWS Control Tower | LOW | |
Changement déclenché |
| Neptune.1 | Les clusters de base de données Neptune doivent être chiffrés au repos | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, norme de gestion des services : AWS Control Tower | MEDIUM | |
Changement déclenché |
| Neptune.2 | Les clusters de base de données Neptune doivent publier les journaux d'audit dans Logs CloudWatch | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS norme de gestion des services : AWS Control Tower | MEDIUM | |
Changement déclenché |
| Neptune.3 | Les instantanés du cluster de base de données Neptune ne doivent pas être publics | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS norme de gestion des services : AWS Control Tower | CRITICAL | |
Changement déclenché |
| Neptune.4 | La protection contre la suppression des clusters de base de données Neptune doit être activée | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, norme de gestion des services : AWS Control Tower | LOW | |
Changement déclenché |
| Neptune.5 | Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, norme de gestion des services : AWS Control Tower | MEDIUM | |
Changement déclenché |
| Neptune.6 | Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, norme de gestion des services : AWS Control Tower | MEDIUM | |
Changement déclenché |
| Neptune.7 | L'authentification de base de données des clusters Neptune doit être IAM activée | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, norme de gestion des services : AWS Control Tower | MEDIUM | |
Changement déclenché |
| Neptune.8 | Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, norme de gestion des services : AWS Control Tower | LOW | |
Changement déclenché |
| Neptune.9 | Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité | NISTSP 800-53 Rév. 5 | MEDIUM | |
Changement déclenché |
| NetworkFirewall1. | Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité | NISTSP 800-53 Rév. 5 | MEDIUM | |
Changement déclenché |
| NetworkFirewall2. | La journalisation par Network Firewall doit être activée | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Périodique |
| NetworkFirewall3. | Les politiques de Network Firewall doivent être associées à au moins un groupe de règles | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| NetworkFirewall4. | L'action apatride par défaut pour les politiques de Network Firewall doit être « drop » ou « forward » pour les paquets complets. | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| NetworkFirewall5. | L'action apatride par défaut pour les politiques de Network Firewall doit être « drop » ou « forward » pour les paquets fragmentés. | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| NetworkFirewall6. | Le groupe de règles de pare-feu réseau sans état ne doit pas être vide | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| NetworkFirewall7. | Les pare-feux Network Firewall doivent être étiquetés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| NetworkFirewall8. | Les politiques de pare-feu de Network Firewall doivent être balisées | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| NetworkFirewall9. | La protection contre les suppressions doit être activée sur les pare-feux Network Firewall | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Changement déclenché |
| Opensearch.1 | OpenSearch le chiffrement au repos doit être activé dans les domaines | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, v3.2.1, SP 800-53 AWS Control Tower Rev. PCI DSS 5 NIST | MEDIUM | |
Changement déclenché |
| Opensearch.2 | OpenSearch les domaines ne doivent pas être accessibles au public | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, v3.2.1, SP 800-53 AWS Control Tower Rev. PCI DSS 5 NIST | CRITICAL | |
Changement déclenché |
| Opensearch.3 | OpenSearch les domaines doivent chiffrer les données envoyées entre les nœuds | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| Opensearch.4 | OpenSearch la journalisation des erreurs de domaine dans CloudWatch Logs doit être activée | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| Opensearch.5 | OpenSearch la journalisation des audits doit être activée pour les domaines | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS norme de gestion des services : AWS Control Tower | MEDIUM | |
Changement déclenché |
| Opensearch.6 | OpenSearch les domaines doivent comporter au moins trois nœuds de données | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| Opensearch.7 | OpenSearch le contrôle d'accès détaillé des domaines doit être activé | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | HIGH | |
Changement déclenché |
| Opensearch.8 | Les connexions aux OpenSearch domaines doivent être cryptées conformément à la dernière politique TLS de sécurité | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | Changement déclenché | |
| Opensearch.9 | OpenSearch les domaines doivent être balisés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| Opensearch.10 | OpenSearch la dernière mise à jour logicielle doit être installée sur les domaines | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | LOW | |
Changement déclenché |
| OpenSearch.11 | OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés | NISTSP 800-53 Rév. 5 | LOW | Périodique | |
| PCA1. | AWS Private CA l'autorité de certification racine doit être désactivée | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | LOW | |
Périodique |
| RDS1. | RDSl'instantané doit être privé | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, v3.2.1, SP 800-53 AWS Control Tower Rev. PCI DSS 5 NIST | CRITICAL | |
Changement déclenché |
| RDS2. | RDSLes instances de base de données doivent interdire l'accès public, tel que déterminé par la PubliclyAccessible configuration | CIS AWS Foundations Benchmark v3.0.0, Meilleures pratiques de sécurité AWS fondamentales v1.0.0, norme de gestion des services : NIST SP 800-53 Rev. 5, v3.2.1 AWS Control Tower, v4.0.1 PCI DSS PCI DSS | CRITICAL | |
Changement déclenché |
| RDS3. | RDSLe chiffrement au repos doit être activé sur les instances de base de données | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, AWS Foundational Security Best Practices v1.0.0, Service Géré Standard : SP 800-53 Rev. 5 AWS Control Tower NIST | MEDIUM | |
Changement déclenché |
| RDS4. | RDSles instantanés de cluster et les instantanés de base de données doivent être chiffrés au repos | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| RDS5. | RDSLes instances de base de données doivent être configurées avec plusieurs zones de disponibilité | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| RDS6. | Une surveillance améliorée doit être configurée pour les RDS instances de base de données | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | LOW | |
Changement déclenché |
| RDS7. | RDSla protection contre la suppression des clusters doit être activée | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | LOW | |
Changement déclenché |
| RDS8. | RDSLa protection contre la suppression des instances de base de données doit être activée | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | LOW | |
Changement déclenché |
| RDS9. | RDSLes instances de base de données doivent publier les CloudWatch journaux dans Logs | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS norme de gestion des services : AWS Control Tower | MEDIUM | |
Changement déclenché |
| RDS.10 | IAMl'authentification doit être configurée pour les RDS instances | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| RDS.11 | RDSles sauvegardes automatiques doivent être activées sur les instances | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| RDS.12 | IAMl'authentification doit être configurée pour les RDS clusters | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Changement déclenché |
| RDS.13 | RDSles mises à niveau automatiques des versions mineures doivent être activées | CIS AWS Foundations Benchmark v3.0.0, Meilleures pratiques de sécurité AWS fondamentales v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, norme de gestion des services : PCI DSS AWS Control Tower | HIGH | |
Changement déclenché |
| RDS.14 | Le retour en arrière doit être activé sur les clusters Amazon Aurora | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Changement déclenché |
| RDS.15 | RDSLes clusters de base de données doivent être configurés pour plusieurs zones de disponibilité | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Changement déclenché |
| RDS.16 | RDSLes clusters de base de données doivent être configurés pour copier des balises dans des instantanés | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | LOW | |
Changement déclenché |
| RDS.17 | RDSLes instances de base de données doivent être configurées pour copier des balises dans des instantanés | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | LOW | |
Changement déclenché |
| RDS.18 | RDSles instances doivent être déployées dans un VPC | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | HIGH | |
Changement déclenché |
| RDS.19 | Les abonnements existants aux notifications d'RDSévénements doivent être configurés pour les événements critiques du cluster | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | LOW | |
Changement déclenché |
| RDS.20 | Les abonnements existants aux notifications d'RDSévénements doivent être configurés pour les événements critiques liés aux instances de base de données | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS norme de gestion des services : AWS Control Tower | LOW | |
Changement déclenché |
| RDS.21 | Un abonnement aux notifications d'RDSévénements doit être configuré pour les événements critiques liés aux groupes de paramètres de base de données | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS norme de gestion des services : AWS Control Tower | LOW | |
Changement déclenché |
| RDS2.2 | Un abonnement aux notifications d'RDSévénements doit être configuré pour les événements critiques des groupes de sécurité de base de données | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS norme de gestion des services : AWS Control Tower | LOW | |
Changement déclenché |
| RDS.23 | RDSles instances ne doivent pas utiliser le port par défaut du moteur de base de données | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | LOW | |
Changement déclenché |
| RDS2.4 | RDSLes clusters de base de données doivent utiliser un nom d'utilisateur d'administrateur personnalisé | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Changement déclenché |
| RDS.25 | RDSles instances de base de données doivent utiliser un nom d'utilisateur d'administrateur personnalisé | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS norme de gestion des services : AWS Control Tower | MEDIUM | |
Changement déclenché |
| RDS.26 | RDSLes instances de base de données doivent être protégées par un plan de sauvegarde | NISTSP 800-53 Rév. 5 | MEDIUM | |
Périodique |
| RDS.27 | RDSLes clusters de base de données doivent être chiffrés au repos | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, norme de gestion des services : AWS Control Tower | MEDIUM | |
Changement déclenché |
| RDS.28 | RDSLes clusters de base de données doivent être balisés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| RDS.29 | RDSLes instantanés du cluster de base de données doivent être balisés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| RDS.30 | RDSLes instances de base de données doivent être étiquetées | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| RDS3.1 | RDSLes groupes de sécurité de base de données doivent être balisés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| RDS3.2 | RDSLes instantanés de base de données doivent être balisés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| RDS3.3 | RDSLes groupes de sous-réseaux de base de données doivent être balisés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| RDS.34 | Les clusters Aurora My SQL DB doivent publier les journaux d'audit dans CloudWatch Logs | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Changement déclenché |
| RDS.35 | RDSLa mise à niveau automatique des versions mineures des clusters de base de données doit être activée | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Changement déclenché |
| RDS.36 | RDSpour les SQL instances de base de données Postgre, vous CloudWatch devez publier les journaux dans Logs | AWS Bonnes pratiques de sécurité de base v1.0.0, v4.0.1 PCI DSS | MEDIUM | Changement déclenché | |
| RDS.37 | Les clusters de SQL base de données Aurora Postgre doivent publier les journaux dans Logs CloudWatch | AWS Bonnes pratiques de sécurité de base v1.0.0, v4.0.1 PCI DSS | MEDIUM | Changement déclenché | |
| Redshift.1 | Les clusters Amazon Redshift devraient interdire l'accès public | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, v4.0.1, norme de gestion des services : PCI DSS AWS Control Tower | CRITICAL | |
Changement déclenché |
| Redshift.2 | Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS norme de gestion des services : AWS Control Tower | MEDIUM | |
Changement déclenché |
| Redshift.3 | Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Changement déclenché |
| Redshift.4 | La journalisation des audits doit être activée sur les clusters Amazon Redshift | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS norme de gestion des services : AWS Control Tower | MEDIUM | |
Changement déclenché |
| Redshift.6 | Amazon Redshift devrait activer les mises à niveau automatiques vers les versions majeures | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| Redshift.7 | Les clusters Redshift doivent utiliser un routage amélioré VPC | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| Redshift.8 | Les clusters Amazon Redshift ne doivent pas utiliser le nom d'utilisateur d'administrateur par défaut | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| Redshift.9 | Les clusters Redshift ne doivent pas utiliser le nom de base de données par défaut | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| Redshift.10 | Les clusters Redshift doivent être chiffrés au repos | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| Redshift.11 | Les clusters Redshift doivent être balisés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| Redshift.12 | Les notifications d'abonnement aux événements Redshift doivent être étiquetées | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| Redshift.13 | Les instantanés du cluster Redshift doivent être balisés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| Redshift.14 | Les groupes de sous-réseaux du cluster Redshift doivent être balisés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| Redshift.15 | Les groupes de sécurité Redshift doivent autoriser l'entrée sur le port du cluster uniquement à partir d'origines restreintes | AWS Bonnes pratiques de sécurité de base v1.0.0, v4.0.1 PCI DSS | HIGH | Périodique | |
| Itinéraire 53.1 | Les bilans de santé de la Route 53 doivent être étiquetés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| Itinéraire 53.2 | Les zones hébergées publiques de Route 53 devraient enregistrer DNS les requêtes | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Changement déclenché |
| S3.1 | Les paramètres de blocage de l'accès public aux compartiments S3 à usage général doivent être activés | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, v3.2.1, v4.0.1, norme de gestion des services : PCI DSS PCI DSS AWS Control Tower | MEDIUM | Périodique | |
| S3.2 | Les compartiments S3 à usage général devraient bloquer l'accès public à la lecture | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, v3.2.1, SP 800-53 AWS Control Tower Rev. PCI DSS 5 NIST | CRITICAL | Changement déclenché et périodique | |
| S3.3 | Les compartiments S3 à usage général devraient bloquer l'accès public en écriture | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, v3.2.1, SP 800-53 AWS Control Tower Rev. PCI DSS 5 NIST | CRITICAL | Changement déclenché et périodique | |
| S3.5 | Les compartiments S3 à usage général doivent nécessiter des demandes d'utilisation SSL | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, v3.2.1, v4.0.1, norme de gestion des services : PCI DSS PCI DSS AWS Control Tower | MEDIUM | Changement déclenché | |
| S3.6 | Les politiques générales relatives aux compartiments S3 devraient restreindre l'accès à d'autres Comptes AWS | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | HIGH | Changement déclenché | |
| S3.7 | Les compartiments S3 à usage général doivent utiliser la réplication entre régions | PCIDSSv3.2.1, NIST SP 800-53 Rév. 5 | LOW | Changement déclenché | |
| S3.8 | Les compartiments S3 à usage général devraient bloquer l'accès public | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, norme de gestion des services : PCI DSS AWS Control Tower | HIGH | Changement déclenché | |
| S3.9 | La journalisation des accès au serveur doit être activée dans les compartiments S3 à usage général | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS norme de gestion des services : AWS Control Tower | MEDIUM | Changement déclenché | |
| S3.10 | Les compartiments S3 à usage général dont la gestion des versions est activée doivent avoir des configurations de cycle de vie | NISTSP 800-53 Rév. 5 | MEDIUM | Changement déclenché | |
| S3.11 | Les notifications d'événements doivent être activées dans les compartiments S3 à usage général | NISTSP 800-53 Rév. 5 | MEDIUM | Changement déclenché | |
| S3.12 | ACLsne doit pas être utilisé pour gérer l'accès des utilisateurs aux compartiments S3 à usage général | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | Changement déclenché | |
| S3.13 | Les compartiments S3 à usage général doivent avoir des configurations de cycle de vie | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | LOW | Changement déclenché | |
| S3,14 | La gestion des versions des compartiments S3 à usage général doit être activée | NISTSP 800-53 Rév. 5 | LOW | Changement déclenché | |
| S3,15 | Object Lock doit être activé dans les compartiments S3 à usage général | NISTSP 800-53 Rév. 5, v4.0.1 PCI DSS | MEDIUM | Changement déclenché | |
| S3.17 | Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys | NISTSP 800-53 Rev. 5, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | MEDIUM | Changement déclenché | |
| S3,19 | Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3 | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | CRITICAL | Changement déclenché | |
| S3,20 | La MFA suppression des compartiments S3 à usage général doit être activée | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 | LOW | Changement déclenché | |
| S3,22 | Les compartiments S3 à usage général doivent enregistrer les événements d'écriture au niveau de l'objet | CIS AWS Foundations Benchmark v3.0.0, v4.0.1 PCI DSS | MEDIUM | Périodique | |
| S3,23 | Les compartiments S3 à usage général doivent enregistrer les événements de lecture au niveau des objets | CIS AWS Foundations Benchmark v3.0.0, v4.0.1 PCI DSS | MEDIUM | Périodique | |
| S3,24 | Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 doivent être activés | AWS Bonnes pratiques de sécurité de base v1.0.0, v4.0.1 PCI DSS | HIGH | Changement déclenché | |
| SageMaker AI.1 | Les instances de blocs-notes Amazon SageMaker AI ne doivent pas avoir d'accès direct à Internet | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, v4.0.1, norme de gestion des services : PCI DSS AWS Control Tower | HIGH | |
Périodique |
| SageMaker IA. 2 | SageMaker Les instances de bloc-notes AI doivent être lancées de manière personnalisée VPC | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | HIGH | |
Changement déclenché |
| SageMaker IA. 3 | Les utilisateurs ne doivent pas avoir d'accès root aux instances de blocs-notes SageMaker AI | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | HIGH | |
Changement déclenché |
| SageMaker AI. 4 | SageMaker Les variantes de production de terminaux AI doivent avoir un nombre initial d'instances supérieur à 1 | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | Périodique | |
| SecretsManager1. | La rotation automatique des secrets des secrets du Gestionnaire de secrets doit être activée | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS norme de gestion des services : AWS Control Tower | MEDIUM | |
Changement déclenché |
| SecretsManager2. | Les secrets de Secrets Manager configurés avec une rotation automatique doivent être correctement pivotés | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS norme de gestion des services : AWS Control Tower | MEDIUM | |
Changement déclenché |
| SecretsManager3. | Supprimer les secrets inutilisés de Secrets Manager | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, norme de gestion des services : AWS Control Tower | MEDIUM | |
Périodique |
| SecretsManager4. | Les secrets de Secrets Manager doivent être renouvelés dans un délai spécifié | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1, PCI DSS norme de gestion des services : AWS Control Tower | MEDIUM | |
Périodique |
| SecretsManager5. | Les secrets de Secrets Manager doivent être balisés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| ServiceCatalog1. | Les portefeuilles Service Catalog ne doivent être partagés qu'au sein d'une AWS organisation | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | HIGH | Périodique | |
| SES1. | SESles listes de contacts doivent être étiquetées | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| SES2. | SESles ensembles de configuration doivent être balisés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| SNS1. | SNSles sujets doivent être chiffrés au repos à l'aide de AWS KMS | NISTSP 800-53 Rév. 5 | MEDIUM | Changement déclenché | |
| SNS3. | SNSles sujets doivent être balisés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| SNS4. | SNSles politiques d'accès aux sujets ne doivent pas autoriser l'accès public | AWS Bonnes pratiques de sécurité de base v1.0.0 | HIGH | Changement déclenché | |
| SQS1. | Les SQS files d'attente Amazon doivent être chiffrées au repos | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| SQS2. | SQSles files d'attente doivent être étiquetées | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| SSM1. | EC2les instances doivent être gérées par AWS Systems Manager | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, v3.2.1, SP 800-53 AWS Control Tower Rev. PCI DSS 5 NIST | MEDIUM | |
Changement déclenché |
| SSM2. | EC2les instances gérées par Systems Manager doivent avoir un statut de conformité aux correctifs égal à « COMPLIANT après l'installation du correctif » | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, v4.0.1, norme de gestion des services : PCI DSS AWS Control Tower | HIGH | |
Changement déclenché |
| SSM3. | EC2les instances gérées par Systems Manager doivent avoir un statut de conformité d'association de COMPLIANT | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, v4.0.1, norme de gestion des services : PCI DSS AWS Control Tower | LOW | |
Changement déclenché |
| SSM4. | SSMles documents ne doivent pas être publics | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | CRITICAL | |
Périodique |
| StepFunctions1. | Step Functions : la journalisation doit être activée sur les machines d'état | AWS Bonnes pratiques de sécurité de base v1.0.0, v4.0.1 PCI DSS | MEDIUM | |
Changement déclenché |
| StepFunctions2. | Les activités de Step Functions doivent être étiquetées | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| Transfer.1 | Les flux de travail Transfer Family doivent être balisés | AWS Norme de balisage des ressources | LOW | Changement déclenché | |
| Transfer.2 | Les serveurs Transfer Family ne doivent pas utiliser de FTP protocole pour la connexion des terminaux | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | Périodique | |
| WAF1. | AWS WAF La ACL journalisation Web globale classique doit être activée | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, v4.0.1 PCI DSS | MEDIUM | |
Périodique |
| WAF2. | AWS WAF Les règles régionales classiques doivent comporter au moins une condition | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| WAF3. | AWS WAF Les groupes de règles régionaux classiques doivent avoir au moins une règle | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| WAF4. | AWS WAF Le Web régional classique ACLs doit comporter au moins une règle ou un groupe de règles | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| WAF6. | AWS WAF Les règles globales classiques doivent comporter au moins une condition | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Changement déclenché |
| WAF7. | AWS WAF Les groupes de règles globaux classiques doivent comporter au moins une règle | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Changement déclenché |
| WAF8. | AWS WAF Le Web global classique ACLs doit comporter au moins une règle ou un groupe de règles | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Changement déclenché |
| WAF.10 | AWS WAF le Web ACLs doit comporter au moins une règle ou un groupe de règles | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services : AWS Control Tower SP 800-53 Rev. 5 NIST | MEDIUM | |
Changement déclenché |
| WAF.11 | AWS WAF la ACL journalisation sur le Web doit être activée | NISTSP 800-53 Rév. 5, v4.0.1 PCI DSS | LOW | |
Périodique |
| WAF.12 | AWS WAF les CloudWatch métriques doivent être activées pour les règles | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MEDIUM | |
Changement déclenché |
| WorkSpaces1. | WorkSpaces les volumes utilisateur doivent être chiffrés au repos | AWS Bonnes pratiques de sécurité de base v1.0.0 | MEDIUM | Changement déclenché | |
| WorkSpaces2. | WorkSpaces les volumes racines doivent être chiffrés au repos | AWS Bonnes pratiques de sécurité de base v1.0.0 | MEDIUM | Changement déclenché |
Rubriques
- Contrôles Security Hub pour Comptes AWS
- Contrôles Security Hub pour API Gateway
- Contrôles Security Hub pour AWS AppSync
- Contrôles Security Hub pour Athena
- Contrôles Security Hub pour AWS Backup
- Contrôles Security Hub pour ACM
- Contrôles Security Hub pour AWS CloudFormation
- Contrôles Security Hub pour CloudFront
- Contrôles Security Hub pour CloudTrail
- Contrôles Security Hub pour CloudWatch
- Contrôles Security Hub pour CodeArtifact
- Contrôles Security Hub pour CodeBuild
- Contrôles Security Hub pour AWS Config
- Contrôles Security Hub pour Amazon Data Firehose
- Contrôles Security Hub pour DataSync
- Contrôles Security Hub pour Detective
- Contrôles Security Hub pour AWS DMS
- Contrôles Security Hub pour Amazon DocumentDB
- Contrôles Security Hub pour DynamoDB
- Contrôles Security Hub pour Amazon EC2
- Contrôles Security Hub pour Auto Scaling
- Contrôles Security Hub pour Amazon ECR
- Contrôles Security Hub pour Amazon ECS
- Contrôles Security Hub pour Amazon EFS
- Contrôles Security Hub pour Amazon EKS
- Contrôles Security Hub pour ElastiCache
- Contrôles Security Hub pour Elastic Beanstalk
- Contrôles Security Hub pour Elastic Load Balancing
- Security Hub pour Elasticsearch
- Contrôles Security Hub pour Amazon EMR
- Contrôles Security Hub pour EventBridge
- Contrôles Security Hub pour Amazon FSx
- Contrôles Security Hub pour Global Accelerator
- Contrôles Security Hub pour AWS Glue
- Contrôles Security Hub pour GuardDuty
- Contrôles Security Hub pour IAM
- Contrôles Security Hub pour Amazon Inspector
- Contrôles Security Hub pour AWS IoT
- Contrôles Security Hub pour Kinesis
- Contrôles Security Hub pour AWS KMS
- Contrôles Security Hub pour Lambda
- Contrôles Security Hub pour Macie
- Contrôles Security Hub pour Amazon MSK
- Contrôles Security Hub pour Amazon MQ
- Contrôles Security Hub pour Neptune
- Contrôles Security Hub pour Network Firewall
- Contrôles Security Hub pour le OpenSearch service
- Contrôles Security Hub pour AWS Private CA
- Contrôles Security Hub pour Amazon RDS
- Contrôles Security Hub pour Amazon Redshift
- Contrôles Security Hub pour Route 53
- Contrôles Security Hub pour Amazon S3
- Contrôles Security Hub pour l' SageMaker IA
- Contrôles Security Hub pour Secrets Manager
- Contrôles Security Hub pour Service Catalog
- Contrôles Security Hub pour Amazon SES
- Contrôles Security Hub pour Amazon SNS
- Contrôles Security Hub pour Amazon SQS
- Contrôles Security Hub pour Step Functions
- Contrôles Security Hub pour Systems Manager
- Contrôles Security Hub pour Transfer Family
- Contrôles Security Hub pour AWS WAF
- Contrôles Security Hub pour WorkSpaces
