Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Norme de gestion des services : AWS Control Tower
Cette section fournit des informations sur Service-Managed Standard :. AWS Control Tower
Qu'est-ce que Service-Managed Standard : ? AWS Control Tower
Cette norme est conçue pour les utilisateurs de AWS Security Hub et AWS Control Tower. Il vous permet de configurer les contrôles proactifs AWS Control Tower parallèlement aux contrôles de détection de Security Hub dans le AWS Control Tower service.
Les contrôles proactifs contribuent à Comptes AWS garantir votre conformité, car ils signalent les actions susceptibles d'entraîner des violations des politiques ou des erreurs de configuration. Les contrôles Detective détectent la non-conformité des ressources (par exemple, les erreurs de configuration) au sein de votre. Comptes AWS En activant des contrôles proactifs et détectifs pour votre AWS environnement, vous pouvez améliorer votre posture de sécurité à différents stades de développement.
Astuce
Les normes de gestion des services diffèrent des normes gérées par AWS Security Hub. Par exemple, vous devez créer et supprimer une norme gérée par un service dans le service de gestion. Pour de plus amples informations, veuillez consulter Normes de gestion des services dans Security Hub.
Dans la console Security HubAPI, vous pouvez consulter Service-Managed Standard : AWS Control Tower ainsi que les autres normes du Security Hub.
Création de la norme
Cette norme n'est disponible que si vous la créez dans AWS Control Tower. AWS Control Tower crée la norme lorsque vous activez pour la première fois un contrôle applicable en utilisant l'une des méthodes suivantes :
-
AWS Control Tower console
-
AWS Control Tower API(appelez le
EnableControlAPI) -
AWS CLI (exécutez la
enable-controlcommande)
Les contrôles Security Hub sont identifiés dans la AWS Control Tower console comme SH. ControlID(par exemple, SH. CodeBuild.1).
Lorsque vous créez la norme, si vous n'avez pas encore activé Security Hub, vous pouvez AWS Control Tower également activer Security Hub pour vous.
Si vous ne l'avez pas configuré AWS Control Tower, vous ne pouvez pas consulter ou accéder à cette norme dans la console Security Hub, Security Hub API ou AWS CLI. Même si vous l'avez configurée AWS Control Tower, vous ne pouvez pas consulter ou accéder à cette norme dans Security Hub sans avoir d'abord créé la norme en AWS Control Tower utilisant l'une des méthodes précédentes.
Cette norme n'est disponible que Régions AWS là où elle AWS Control Tower est disponible, y compris AWS GovCloud (US).
Activation et désactivation des commandes dans le standard
Après avoir créé la norme dans la AWS Control Tower console, vous pouvez consulter la norme et les commandes disponibles dans les deux services.
Une fois que vous avez créé la norme pour la première fois, aucune commande n'est automatiquement activée. De plus, lorsque Security Hub ajoute de nouveaux contrôles, ils ne sont pas automatiquement activés pour Service-Managed Standard :. AWS Control Tower Vous devez activer et désactiver les commandes pour l'entrée standard en AWS Control Tower utilisant l'une des méthodes suivantes :
-
AWS Control Tower console
-
AWS Control Tower API(appelez le
EnableControlgroupeDisableControlAPIs) -
AWS CLI (exécutez les
disable-controlcommandes enable-controlet)
Lorsque vous modifiez le statut d'activation d'un contrôle dans AWS Control Tower, le changement est également reflété dans Security Hub.
Cependant, la désactivation d'un contrôle activé dans Security Hub AWS Control Tower entraîne une dérive du contrôle. L'état du contrôle AWS Control Tower apparaît sous la formeDrifted. Vous pouvez résoudre cette dérive en sélectionnant Ré-enregistrer l'OU dans la AWS Control Tower console, ou en désactivant et réactivant le contrôle à l' AWS Control Tower aide de l'une des méthodes précédentes.
L'exécution des actions d'activation et de désactivation vous AWS Control Tower permet d'éviter toute dérive de contrôle.
Lorsque vous activez ou désactivez les contrôles dans AWS Control Tower, l'action s'applique à tous les comptes et à toutes les régions. Si vous activez et désactivez les contrôles dans Security Hub (ce n'est pas recommandé pour cette norme), l'action s'applique uniquement au compte et à la région actuels.
Note
La configuration centrale ne peut pas être utilisée pour gérer Service-Managed Standard :. AWS Control Tower Si vous utilisez la configuration centralisée, vous ne pouvez utiliser que le AWS Control Tower service pour activer et désactiver les contrôles de cette norme pour un compte géré de manière centralisée.
Affichage de l'état d'activation et de l'état du contrôle
Vous pouvez consulter le statut d'activation d'un contrôle à l'aide de l'une des méthodes suivantes :
-
console Security Hub, Security Hub API ou AWS CLI
-
AWS Control Tower console
-
AWS Control Tower APIpour voir la liste des commandes activées (appelez le
ListEnabledControlsAPI) -
AWS CLI pour voir la liste des contrôles activés (exécutez la
list-enabled-controlscommande)
Un contrôle que vous désactivez AWS Control Tower a le statut d'activation Disabled dans Security Hub, sauf si vous activez explicitement ce contrôle dans Security Hub.
Security Hub calcule l'état du contrôle en fonction de l'état du flux de travail et de l'état de conformité des résultats du contrôle. Pour plus d'informations sur le statut d'activation et le statut du contrôle, consultezAfficher les détails d'un contrôle.
Sur la base des états de contrôle, Security Hub calcule un score de sécurité pour Service-Managed Standard :. AWS Control Tower Ce score n'est disponible que dans Security Hub. En outre, vous ne pouvez consulter les résultats des contrôles que dans Security Hub. Le score de sécurité standard et les résultats des contrôles ne sont pas disponibles dans AWS Control Tower.
Note
Lorsque vous activez les contrôles pour Service-Managed Standard : AWS Control Tower, Security Hub peut mettre jusqu'à 18 heures pour générer les résultats des contrôles qui utilisent une règle liée à un AWS Config service existante. Il se peut que vous disposiez de règles liées aux services si vous avez activé d'autres normes et contrôles dans Security Hub. Pour de plus amples informations, veuillez consulter Planification de l'exécution des vérifications de sécurité.
Supprimer le standard
Vous pouvez supprimer cette norme en AWS Control Tower désactivant toutes les commandes applicables à l'aide de l'une des méthodes suivantes :
-
AWS Control Tower console
-
AWS Control Tower API(appelez le
DisableControlAPI) -
AWS CLI (exécutez la
disable-controlcommande)
La désactivation de tous les contrôles entraîne la suppression de la norme dans tous les comptes gérés et régions gouvernées dans. AWS Control Tower La suppression du standard dans le AWS Control Tower supprime de la page Standards de la console Security Hub, et vous ne pouvez plus y accéder via le Security Hub API ou AWS CLI.
Note
La désactivation de toutes les commandes de la norme dans Security Hub ne désactive ni ne supprime la norme.
La désactivation du service Security Hub supprime Service-Managed Standard : AWS Control Tower et toutes les autres normes que vous avez activées.
Recherche du format de champ pour Service-Managed Standard : AWS Control Tower
Lorsque vous créez Service-Managed Standard AWS Control Tower et que vous activez les contrôles correspondants, vous commencez à recevoir les résultats des contrôles dans Security Hub. Security Hub publie les résultats des contrôles dans leAWS Format de recherche de sécurité (ASFF). Voici les ASFF valeurs du nom de ressource Amazon (ARN) de cette norme et GeneratorId :
-
Norme ARN —
arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0 -
GeneratorId –
service-managed-aws-control-tower/v/1.0.0/CodeBuild.1
Pour un exemple de recherche pour Service-Managed Standard : AWS Control Tower, voir. Exemples de résultats de contrôle dans Security Hub
Contrôles applicables à la norme de gestion des services : AWS Control Tower
Norme gérée par les services : AWS Control Tower prend en charge un sous-ensemble de contrôles qui font partie de la norme AWS Foundational Security Best Practices (). FSBP Choisissez un contrôle dans le tableau suivant pour afficher les informations le concernant, y compris les étapes de correction en cas d'échec des résultats.
La liste suivante indique les contrôles disponibles pour Service-Managed Standard :. AWS Control Tower Les limites régionales sur les contrôles correspondent aux limites régionales sur les contrôles corollaires de la FSBP norme. Cette liste indique les contrôles de sécurité indépendants des normes. IDs Dans la AWS Control Tower console, les commandes IDs sont formatées en SH. ControlID(par exemple SH. CodeBuild.1). Dans Security Hub, si les résultats de contrôle consolidés sont désactivés dans votre compte, le ProductFields.ControlId champ utilise l'ID de contrôle standard. L'ID de contrôle standard est formaté au format CT. ControlId(par exemple, CT. CodeBuild.1).
-
[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS
-
[ACM.1] Les certificats importés et ACM émis doivent être renouvelés après une période spécifiée
-
[ACM.2] RSA les certificats gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits
-
[APIGateway.3] Le AWS X-Ray suivi doit être activé sur REST API les étapes de la API passerelle
-
[APIGateway.4] La API passerelle doit être associée à un WAF site Web ACL
-
[APIGateway.5] Les données REST API du cache de la API passerelle doivent être chiffrées au repos
-
[APIGateway.8] Les routes de API passerelle doivent spécifier un type d'autorisation
-
[APIGateway.9] La journalisation des accès doit être configurée pour les étapes API Gateway V2
-
[AppSync.5] AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés API
-
[AutoScaling.2] Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité
-
[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé
-
[CloudTrail.4] La validation du fichier CloudTrail journal doit être activée
-
[CloudTrail.5] les CloudTrail sentiers doivent être intégrés à Amazon CloudWatch Logs
-
[CodeBuild.3] Les journaux CodeBuild S3 doivent être chiffrés
-
[DMS.1] Les instances de réplication du Database Migration Service ne doivent pas être publiques
-
[DocumentDB.1] Les clusters Amazon DocumentDB doivent être chiffrés au repos
-
[DocumentDB.3] Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics
-
[DynamoDB.1] Les tables DynamoDB doivent automatiquement adapter la capacité à la demande
-
[DynamoDB.2] La restauration des tables DynamoDB doit être activée point-in-time
-
[DynamoDB.3] Les clusters DynamoDB Accelerator () DAX doivent être chiffrés au repos
-
[EC2.1] Les EBS instantanés Amazon ne doivent pas être restaurables publiquement
-
[EC2.2] les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant
-
[EC2.3] Les EBS volumes Amazon joints doivent être chiffrés au repos
-
[EC2.4] Les EC2 instances arrêtées doivent être supprimées après une période spécifiée
-
[EC2.6] la journalisation des VPC flux doit être activée dans tous VPCs
-
[EC2.8] EC2 les instances doivent utiliser le service de métadonnées d'instance version 2 () IMDSv2
-
[EC2.9] EC2 Les instances Amazon ne doivent pas avoir d'adresse publique IPv4
-
[EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées
-
[EC2.17] Les EC2 instances Amazon ne doivent pas utiliser plusieurs ENIs
-
[EC2.20] Les deux VPN tunnels d'une AWS Site-to-Site VPN connexion doivent être actifs
-
[EC2.22] Les groupes de EC2 sécurité Amazon non utilisés doivent être supprimés
-
[ECR.1] la numérisation des images doit être configurée dans les référentiels ECR privés
-
[ECR.2] l'immuabilité des balises doit être configurée dans les référentiels ECR privés
-
[ECR.3] ECR les référentiels doivent avoir au moins une politique de cycle de vie configurée
-
[ECS.2] ECS aucune adresse IP publique ne doit être attribuée automatiquement aux services
-
[ECS.4] les ECS conteneurs doivent fonctionner comme des conteneurs non privilégiés
-
[ECS.8] Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur
-
[ECS.12] les ECS clusters doivent utiliser Container Insights
-
[EFS.2] EFS Les volumes Amazon doivent figurer dans des plans de sauvegarde
-
[EFS.3] les points EFS d'accès doivent appliquer un répertoire racine
-
[EFS.4] les points EFS d'accès doivent renforcer l'identité de l'utilisateur
-
[EKS.1] les points de terminaison EKS du cluster ne doivent pas être accessibles au public
-
[EKS.2] les EKS clusters doivent fonctionner sur une version de Kubernetes prise en charge
-
[ElastiCache.4] les groupes de ElastiCache réplication doivent être chiffrés au repos
-
[ElastiCache.5] les groupes ElastiCache de réplication doivent être chiffrés pendant le transport
-
[ELB.3] Les écouteurs Classic Load Balancer doivent être configurés avec ou sans arrêt HTTPS TLS
-
[ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP non valides
-
[ELB.7] Le drainage des connexions doit être activé sur les équilibreurs de charge classiques
-
[ELB.10] Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité
-
[EMR.1] Les nœuds principaux EMR du cluster Amazon ne doivent pas avoir d'adresses IP publiques
-
[ES.1] Le chiffrement au repos doit être activé sur les domaines Elasticsearch
-
[ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public
-
[ES.3] Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds
-
[ES.5] La journalisation des audits doit être activée dans les domaines Elasticsearch
-
[ES.6] Les domaines Elasticsearch doivent comporter au moins trois nœuds de données
-
[ES.7] Les domaines Elasticsearch doivent être configurés avec au moins trois nœuds maîtres dédiés
-
[IAM.1] IAM les politiques ne doivent pas autoriser tous les privilèges administratifs « * »
-
[IAM.2] IAM les utilisateurs ne doivent pas avoir IAM de politiques associées
-
[IAM.3] Les clés d'accès IAM des utilisateurs doivent être renouvelées tous les 90 jours ou moins
-
[IAM.4] IAM La clé d'accès de l'utilisateur root ne doit pas exister
-
[IAM.5] MFA doit être activé pour tous les IAM utilisateurs disposant d'un mot de passe de console
-
[IAM.6] Le matériel MFA doit être activé pour l'utilisateur root
-
[IAM.8] Les informations IAM d'identification utilisateur non utilisées doivent être supprimées
-
[KMS.3] ne AWS KMS keys doit pas être supprimé par inadvertance
-
[Lambda.1] Les politiques relatives à la fonction Lambda devraient interdire l'accès public
-
[Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge
-
[Lambda.5] Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité
-
[MSK.1] les MSK clusters doivent être chiffrés lors du transit entre les nœuds du courtier
-
[MQ.5] Les courtiers ActiveMQ doivent utiliser le mode de déploiement actif/en veille
-
[MQ.6] Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster
-
[Neptune.1] Les clusters de base de données Neptune doivent être chiffrés au repos
-
[Neptune.3] Les instantanés du cluster de base de données Neptune ne doivent pas être publics
-
[Neptune.6] Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos
-
[Neptune.7] L'authentification de base de données des clusters Neptune doit être activée IAM
-
[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide
-
Le chiffrement au repos doit être activé OpenSearch dans les domaines [Opensearch.1]
-
Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public
-
[Opensearch.3] Les OpenSearch domaines doivent crypter les données envoyées entre les nœuds
-
[Opensearch.5] la journalisation des audits doit être activée sur les OpenSearch domaines
-
Les OpenSearch domaines [Opensearch.6] doivent avoir au moins trois nœuds de données
-
Le contrôle d'accès détaillé des OpenSearch domaines [Opensearch.7] doit être activé
-
[RDS.3] Le chiffrement au repos doit être activé sur les RDS instances de base de données
-
[RDS.6] Une surveillance améliorée doit être configurée pour les RDS instances de base de données
-
[RDS.8] La protection contre la suppression des RDS instances de base de données doit être activée
-
[RDS.9] Les RDS instances de base de données doivent publier les journaux dans Logs CloudWatch
-
[RDS.10] IAM l'authentification doit être configurée pour les instances RDS
-
[RDS.11] les sauvegardes automatiques doivent être activées sur les RDS instances
-
[RDS.12] IAM l'authentification doit être configurée pour les clusters RDS
-
[RDS.13] les mises à niveau RDS automatiques des versions mineures doivent être activées
-
[RDS.18] RDS les instances doivent être déployées dans un VPC
-
[RDS.23] les RDS instances ne doivent pas utiliser le port par défaut du moteur de base de données
-
[RDS.27] Les clusters de RDS base de données doivent être chiffrés au repos
-
[Redshift.1] Les clusters Amazon Redshift devraient interdire l'accès public
-
[Redshift.2] Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit
-
[Redshift.4] La journalisation des audits doit être activée sur les clusters Amazon Redshift
-
[Redshift.7] Les clusters Redshift doivent utiliser un routage amélioré VPC
-
[Redshift.9] Les clusters Redshift ne doivent pas utiliser le nom de base de données par défaut
-
[Redshift.10] Les clusters Redshift doivent être chiffrés au repos
-
[S3.2] Les compartiments à usage général S3 devraient bloquer l'accès public à la lecture
-
[S3.3] Les compartiments à usage général S3 devraient bloquer l'accès public en écriture
-
[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation SSL
-
[S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public
-
[S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie
-
[S3.17] Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys
-
[SecretsManager.1] La rotation automatique des secrets de Secrets Manager doit être activée
-
[SecretsManager.3] Supprimer les secrets inutilisés du Gestionnaire de Secrets Manager
-
[SecretsManager.4] Les secrets de Secrets Manager doivent être renouvelés dans un délai spécifié
-
[SQS.1] Les SQS files d'attente Amazon doivent être chiffrées au repos
-
[SSM.1] EC2 Les instances Amazon doivent être gérées par AWS Systems Manager
-
[WAF.2] Les règles régionales AWS WAF classiques doivent comporter au moins une condition
-
[WAF.3] AWS WAF Les groupes de règles régionaux classiques doivent avoir au moins une règle
-
[WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles
Pour plus d'informations sur cette norme, consultez la section Contrôles du Security Hub dans le guide de AWS Control Tower l'utilisateur.
