Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Bonnes pratiques opérationnelles pour NZISM 3.9 (NZ Transition)
Les packs de conformité fournissent un cadre de conformité à usage général conçu pour vous permettre de créer des contrôles de gouvernance en matière de sécurité, d'exploitation ou d'optimisation des coûts à l'aide de AWS Config règles gérées ou personnalisées et d'actions correctives. AWS Config Les packs de conformité, en tant qu'exemples de modèle, ne sont pas conçus pour garantir pleinement la conformité à une norme de gouvernance ou de conformité spécifique. Il vous incombe de déterminer vous-même si votre utilisation des services est conforme aux exigences légales et réglementaires applicables.
Vous trouverez ci-dessous un exemple de mappage entre le manuel de sécurité des informations (NZISM) 2025-11 version 3.9 du Bureau de sécurité des communications du gouvernement de Nouvelle-Zélande (GCSB)
Cet exemple de modèle de pack de conformité contient des mappages avec des contrôles au sein du cadre NZISM, qui fait partie intégrante du cadre des exigences de protection en matière de sécurité (Protective Security Requirements, PSR) qui définit les attentes du gouvernement néo-zélandais en matière de gestion de la sécurité du personnel, de l'information et de la sécurité physique.
La partie Foundation de ce pack de conformité peut être déployée à Sydney et dans le monde entier. La partie NZ Transition contient le sous-ensemble des règles Foundation Config actuellement disponibles dans la région de la Nouvelle Zélande. La partie Fondation ne sera actuellement pas déployée dans la région de la Nouvelle Zélande. La partie Extension de ce pack de conformité peut être déployée dans les régions de Sydney et de Nouvelle Zélande afin d'augmenter les règles de configuration fournies dans les parties Foundation et NZ Transition.
Le NZISM est sous licence Creative Commons Attribution 4.0 Nouvelle Zélande, disponible sur. https://creativecommons.org/licenses/by/4.0/
| ID du contrôle | Description du contrôle | Règle AWS Config | Conseils |
|---|---|---|---|
| 1661 | Sécurité logicielle, développement d'applications Web, contenu du site Web de l'Agence (14.5.6. C.01.) | Ce contrôle vérifie si une CloudFront distribution Amazon est configurée pour renvoyer un objet spécifique qui est l'objet racine par défaut. Le contrôle échoue si aucun objet racine par défaut n'est configuré pour la CloudFront distribution. Un utilisateur peut parfois demander l'URL racine de la distribution au lieu d'un objet de la distribution. Dans ce cas, la spécification d'un objet racine par défaut peut vous aider à éviter d'exposer le contenu de votre distribution web. Cette règle doit être appliquée dans la région us-east-1. Déployer avec le paramètre de modèle DeployEdgeRules = true | |
| 1667 | Sécurité logicielle, développement d'applications Web, applications Web (14.5.8. C.01.) | Assurez-vous que l'intégrité du réseau est protégée en vous assurant que les certificats X509 sont émis par AWS ACM. Ces certificats doivent être valides et non expirés. Cette règle nécessite une valeur pour les joursToExpiration. La valeur est de 30 jours. | |
| 1667 | Sécurité logicielle, développement d'applications Web, applications Web (14.5.8. C.01.) | Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 1847 | Contrôle d'accès et mots de passe, identification, authentification et mots de passe, protection des données d'authentification en transit (16.1.37. C.01.) | Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 1847 | Contrôle d'accès et mots de passe, identification, authentification et mots de passe, protection des données d'authentification en transit (16.1.37. C.01.) | Ce contrôle vérifie si une CloudFront distribution Amazon exige que les utilisateurs utilisent directement le protocole HTTPS ou si elle utilise la redirection. Le contrôle échoue s'il ViewerProtocolPolicy est défini sur allow-all par défaut CacheBehavior ou pour CacheBehaviors. Vous pouvez utiliser HTTPS (TLS) pour empêcher les pirates potentiels d'espionner ou de manipuler le trafic réseau à l'aide d'attaques de l'homme du milieu au d'autres attaques similaires. Seules les connexions chiffrées via HTTPS (TLS) doivent être autorisées. Cette règle doit être appliquée dans la région us-east-1. Déployer avec le paramètre de modèle DeployEdgeRules = true | |
| 1847 | Contrôle d'accès et mots de passe, identification, authentification et mots de passe, protection des données d'authentification en transit (16.1.37. C.01.) | Ce contrôle vérifie si le chiffrement nœud à nœud est activé dans les domaines Elasticsearch. Ce contrôle échoue si le chiffrement nœud à nœud est désactivé sur le domaine. Le protocole HTTPS (TLS) peut être utilisé pour empêcher les attaquants potentiels d'espionner ou de manipuler le trafic réseau par le biais d'attaques de type « person-in-the-middle » ou d'attaques similaires. Seules les connexions chiffrées via HTTPS (TLS) doivent être autorisées. L'activation du chiffrement nœud à nœud pour les domaines Elasticsearch garantit que les communications intra-cluster sont chiffrées en transit. | |
| 1847 | Contrôle d'accès et mots de passe, identification, authentification et mots de passe, protection des données d'authentification en transit (16.1.37. C.01.) | Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 1998 | Contrôle d'accès et mots de passe, enregistrement et audit des événements, tenue à jour des journaux de gestion du système (16.6.6. C.02.) | Vous devez configurer l' CloudTrail option CloudWatch Logs pour surveiller vos journaux de suivi et être averti lorsqu'une activité spécifique se produit. Cette règle vérifie si les CloudTrail traces AWS sont configurées pour envoyer des journaux à Amazon CloudWatch Logs. | |
| 1998 | Contrôle d'accès et mots de passe, enregistrement et audit des événements, tenue à jour des journaux de gestion du système (16.6.6. C.02.) | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de l'AWS Management Console et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes AWS qui ont appelé un service AWS, l'adresse IP source à partir de laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont disponibles dans le contenu des CloudTrail enregistrements AWS. | |
| 1998 | Contrôle d'accès et mots de passe, enregistrement et audit des événements, tenue à jour des journaux de gestion du système (16.6.6. C.02.) | Assurez-vous que la durée minimale de conservation des données des journaux d'événements pour vos groupes de journaux est suffisante pour faciliter le dépannage et les enquêtes judiciaires. Le manque de données disponibles dans les journaux d'événements passés complique la reconstitution et l'identification des événements potentiellement malveillants. La durée minimale de conservation est de 18 mois. | |
| 2013 | Contrôle d'accès et mots de passe, enregistrement et audit des événements, événements supplémentaires à consigner (16.6.10. C.02.) | Ce contrôle vérifie si la journalisation des accès au serveur est activée sur les CloudFront distributions. Le contrôle échoue si la journalisation des accès n'est pas activée pour une distribution. CloudFront les journaux d'accès fournissent des informations détaillées sur chaque demande d'utilisateur CloudFront reçue. Chaque journal contient des informations telles que la date et l'heure de réception de la demande, l'adresse IP de l'utilisateur qui a fait la demande, la source de la demande et le numéro de port de la demande formulée par l'utilisateur. Ces journaux sont utiles pour des applications telles que les audits de sécurité et d'accès et les enquêtes judiciaires. Cette règle doit être appliquée dans la région us-east-1. Déployer avec le paramètre de modèle DeployEdgeRules = true | |
| 2013 | Contrôle d'accès et mots de passe, enregistrement et audit des événements, événements supplémentaires à consigner (16.6.10. C.02.) | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de l'AWS Management Console et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes AWS qui ont appelé un service AWS, l'adresse IP source à partir de laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont disponibles dans le contenu des CloudTrail enregistrements AWS. | |
| 2013 | Contrôle d'accès et mots de passe, enregistrement et audit des événements, événements supplémentaires à consigner (16.6.10. C.02.) | L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. | |
| 2013 | Contrôle d'accès et mots de passe, enregistrement et audit des événements, événements supplémentaires à consigner (16.6.10. C.02.) | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
| 2022 | Contrôle d'accès et mots de passe, enregistrement et audit des événements, protection des journaux d'événements (16.6.12). C.01.) | Utilisez la validation des fichiers CloudTrail journaux AWS pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonctionnalité est développée à l'aide d'algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection. | |
| 2022 | Contrôle d'accès et mots de passe, enregistrement et audit des événements, protection des journaux d'événements (16.6.12). C.01.) | Pour protéger les données sensibles au repos, assurez-vous que le chiffrement est activé pour vos Amazon CloudWatch Log Groups. | |
| 2028 | Contrôle d'accès et mots de passe, journalisation et audit des événements, archives du journal des événements (16.6.13). C.01.) | Assurez-vous que la durée minimale de conservation des données des journaux d'événements pour vos groupes de journaux est suffisante pour faciliter le dépannage et les enquêtes judiciaires. Le manque de données disponibles dans les journaux d'événements passés complique la reconstitution et l'identification des événements potentiellement malveillants. La durée minimale de conservation est de 18 mois. | |
| 2082 | Cryptographie, principes fondamentaux de la cryptographie, réduction des exigences de stockage et de transfert physique (17.1.53. C.04.) | Étant donné que des données sensibles peuvent exister et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos CloudTrail pistes AWS. | |
| 2082 | Cryptographie, principes fondamentaux de la cryptographie, réduction des exigences de stockage et de transfert physique (17.1.53. C.04.) | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). Comme il peut y avoir des données sensibles au repos dans ces volumes, activez le chiffrement au repos pour protéger ces données. | |
| 2082 | Cryptographie, principes fondamentaux de la cryptographie, réduction des exigences de stockage et de transfert physique (17.1.53. C.04.) | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour votre Amazon Elastic File System (EFS). | |
| 2082 | Cryptographie, principes fondamentaux de la cryptographie, réduction des exigences de stockage et de transfert physique (17.1.53. C.04.) | Ce contrôle vérifie si la configuration du chiffrement au repos est activée dans les domaines Elasticsearch. La vérification échoue si le chiffrement au repos n'est pas activé. Pour renforcer la sécurité des données sensibles, vous devez configurer votre domaine Elasticsearch Service pour qu'il soit chiffré au repos. Lorsque vous configurez le chiffrement des données au repos, Amazon Key Management Service (KMS) stocke et gère vos clés de chiffrement. Pour effectuer le chiffrement, AWS KMS utilise l'algorithme Advanced Encryption Standard avec des clés de 256 bits ()AES-256. | |
| 2082 | Cryptographie, principes fondamentaux de la cryptographie, réduction des exigences de stockage et de transfert physique (17.1.53. C.04.) | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). | |
| 2082 | Cryptographie, principes fondamentaux de la cryptographie, réduction des exigences de stockage et de transfert physique (17.1.53. C.04.) | Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données. | |
| 2082 | Cryptographie, principes fondamentaux de la cryptographie, réduction des exigences de stockage et de transfert physique (17.1.53. C.04.) | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos dans les instances Amazon RDS, activez le chiffrement au repos pour protéger ces données. | |
| 2082 | Cryptographie, principes fondamentaux de la cryptographie, réduction des exigences de stockage et de transfert physique (17.1.53. C.04.) | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments Amazon Simple Storage Service (Amazon S3). Comme il peut y avoir des données sensibles au repos dans les compartiments Amazon S3, activez le chiffrement pour protéger ces données. | |
| 2090 | Cryptographie, principes fondamentaux de la cryptographie, protection des informations et des systèmes (17.1.55. C.02.) | Pour protéger les données en transit, assurez-vous que votre Application Load Balancer redirige automatiquement les requêtes HTTP non chiffrées vers HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 2090 | Cryptographie, principes fondamentaux de la cryptographie, protection des informations et des systèmes (17.1.55. C.02.) | Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 2090 | Cryptographie, principes fondamentaux de la cryptographie, protection des informations et des systèmes (17.1.55. C.02.) | Assurez-vous que vos clusters Amazon Redshift nécessitent un TLS/SSL chiffrement pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 2598 | Cryptographie, sécurité de la couche de transport, utilisation du protocole TLS (17.4.16). C.01.) | Pour protéger les données en transit, assurez-vous que vos écouteurs ElasticLoadBalancer SSL classiques utilisent une politique de sécurité personnalisée. Ces politiques peuvent fournir divers algorithmes de chiffrement très puissants afin de garantir des communications réseau chiffrées entre les systèmes. Cette règle exige que vous définissiez une politique de sécurité personnalisée pour vos écouteurs SSL. La politique de sécurité est la suivante : Protocol-TLSv1.2,ECDHE-ECDSA-AES256-GCM-SHA384. | |
| 2600 | Cryptographie, sécurité de la couche de transport, utilisation du protocole TLS (17.4.16). C.02.) | Pour protéger les données en transit, assurez-vous que vos écouteurs ElasticLoadBalancer SSL classiques utilisent une politique de sécurité personnalisée. Ces politiques peuvent fournir divers algorithmes de chiffrement très puissants afin de garantir des communications réseau chiffrées entre les systèmes. Cette règle exige que vous définissiez une politique de sécurité personnalisée pour vos écouteurs SSL. La politique de sécurité par défaut est : Protocol-TLSv1.2,ECDHE-ECDSA-AES256-GCM-SHA384. | |
| 2726 | Cryptographie, Secure Shell, Accès à distance automatisé (17.5.8. C.02.) | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent aider à gérer l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources AWS. Interdire le trafic entrant (ou distant) à partir de la version 0.0.0. 0/0 au port 22 de vos ressources vous aide à restreindre l'accès à distance. | |
| 3021 | Cryptographie, gestion des clés, contenu des KMP (17.9.25. C.01.) | Amazon Key Management Service (KMS) permet aux clients de faire pivoter la clé de sauvegarde, qui est un élément clé stocké dans AWS KMS et qui est lié à l'ID de clé de la clé CMK. Il s'agit de la clé de stockage utilisée pour effectuer les opérations cryptographiques telles que le chiffrement et le déchiffrement. La rotation de clé automatique conserve actuellement toutes les clés de stockage précédentes afin que le déchiffrement des données chiffrées puisse se dérouler de façon transparente. La rotation des clés de chiffrement contribue à réduire l'impact potentiel d'une clé compromise, puisque les données chiffrées avec une nouvelle clé ne sont pas accessibles avec une ancienne clé susceptible d'avoir été exposée. | |
| 3205 | Sécurité du réseau, gestion du réseau, limitation de l'accès au réseau (18.1.13. C.02.) | Gérez l'accès aux ressources dans le cloud AWS en vous assurant que les ports courants sont restreints sur les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2). Le fait de ne pas limiter l'accès aux ports à des sources fiables peut entraîner des attaques mettant en péril la disponibilité, l'intégrité et la confidentialité des systèmes. En restreignant l'accès aux ressources d'un groupe de sécurité depuis Internet (0.0.0. 0/0) l'accès à distance aux systèmes internes peut être contrôlé. La liste des ports Internet autorisés est la suivante : 443 uniquement | |
| 3449 | Sécurité des produits, application de correctifs et mise à jour des produits, correction des vulnérabilités dans les produits (12.4.4. C.02.) | Cette règle garantit que les clusters Amazon Redshift disposent des paramètres préférés de votre organisation. Plus précisément, qu'ils disposent de fenêtres de maintenance préférées et de périodes de conservation des instantanés automatisées pour la base de données. Cet ensemble de règles autorise VersionUpgrade la valeur TRUE. | |
| 3452 | Sécurité des produits, application de correctifs et mise à jour des produits, correction des vulnérabilités dans les produits (12.4.4. C.05.) | Ce contrôle vérifie si les mises à niveau automatiques des versions mineures sont activées pour l'instance de base de données RDS. L'activation des mises à niveau automatiques des versions mineures garantit que les dernières mises à jour des versions mineures du système de gestion de base de données relationnelle (RDBMS) sont installées. Ces mises à niveau peuvent inclure des correctifs de sécurité et des corrections de bogues. La mise à jour de l'installation des correctifs est une étape importante de la sécurisation des systèmes. | |
| 3453 | Sécurité des produits, application de correctifs et mise à jour des produits, correction des vulnérabilités dans les produits (12.4.4. C.06.) | Cette règle garantit que les clusters Amazon Redshift disposent des paramètres préférés de votre organisation. Plus précisément, qu'ils disposent de fenêtres de maintenance préférées et de périodes de conservation des instantanés automatisées pour la base de données. Cet ensemble de règles autorise VersionUpgrade la valeur TRUE. | |
| 3562 | Sécurité des passerelles, Passerelles, Configuration des passerelles (19.1.12. C.01.) | Ce contrôle vérifie si les CloudFront distributions sont associées aux ACL Web AWS WAF ou AWS WAFv2. Le contrôle échoue si la distribution n'est pas associée à une ACL Web. AWS WAF est un pare-feu d'application web qui aide à protéger les applications web et les API contre les attaques. Il vous permet de configurer un ensemble de règles appelé liste de contrôle d'accès web (ACL web) qui autorisent, bloquent ou comptent les requêtes web en fonction des règles et conditions de sécurité web personnalisables que vous définissez. Assurez-vous que votre CloudFront distribution est associée à une ACL Web AWS WAF afin de la protéger contre les attaques malveillantes. Cette règle doit être appliquée dans la région us-east-1. Déployer avec le paramètre de modèle DeployEdgeRules = true | |
| 3562 | Sécurité des passerelles, Passerelles, Configuration des passerelles (19.1.12. C.01.) | Gérez l'accès au cloud AWS en vous assurant que les instances de réplication d'AWS Database Migration Service (DMS) ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| 3562 | Sécurité des passerelles, Passerelles, Configuration des passerelles (19.1.12. C.01.) | Assurez-vous que la méthode Service des métadonnées d'instance Version 2 (IMDSv2) est activée pour protéger l'accès aux métadonnées d'instance Amazon Elastic Compute Cloud (Amazon EC2) et leur contrôle. La méthode IMDSv2 utilise des contrôles basés sur la session. Avec IMDSv2, des contrôles peuvent être mis en œuvre pour limiter les modifications apportées aux métadonnées des instances. | |
| 3562 | Sécurité des passerelles, Passerelles, Configuration des passerelles (19.1.12. C.01.) | Gérez l'accès au cloud AWS en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| 3562 | Sécurité des passerelles, Passerelles, Configuration des passerelles (19.1.12. C.01.) | Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un réseau Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et les autres services au sein du réseau Amazon VPC, sans nécessiter de passerelle Internet, de périphérique NAT ou de connexion VPN. Tout le trafic reste en toute sécurité dans le cloud AWS. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès. | |
| 3562 | Sécurité des passerelles, Passerelles, Configuration des passerelles (19.1.12. C.01.) | Ce contrôle vérifie si les domaines Elasticsearch se trouvent dans un cloud privé virtuel (VPC). Il n'évalue pas la configuration de routage du sous-réseau VPC pour déterminer l'accès public. Vous devez vous assurer que les domaines Elasticsearch ne sont pas attachés à des sous-réseaux publics. Les domaines Elasticsearch déployés au sein d'un VPC peuvent communiquer avec les ressources du VPC via le réseau AWS privé, sans qu'il soit nécessaire de passer par l'Internet public. Cette configuration augmente le niveau de sécurité en limitant l'accès aux données en transit. Les VPC fournissent un certain nombre de contrôles réseau pour sécuriser l'accès aux domaines Elasticsearch, notamment les ACL réseau et les groupes de sécurité | |
| 3562 | Sécurité des passerelles, Passerelles, Configuration des passerelles (19.1.12. C.01.) | Gérez l'accès aux ressources dans le cloud AWS en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| 3562 | Sécurité des passerelles, Passerelles, Configuration des passerelles (19.1.12. C.01.) | Gérez l'accès aux ressources dans le cloud AWS en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| 3562 | Sécurité des passerelles, Passerelles, Configuration des passerelles (19.1.12. C.01.) | Gérez l'accès aux ressources dans le cloud AWS en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle définit ignore PublicAcls à TRUE, block PublicPolicy à VRAI, block PublicAcls à VRAI et restrict PublicBuckets à TRUE. | |
| 3562 | Sécurité des passerelles, Passerelles, Configuration des passerelles (19.1.12. C.01.) | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources AWS. La restriction de l'ensemble du trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos ressources AWS. | |
| 3562 | Sécurité des passerelles, Passerelles, Configuration des passerelles (19.1.12. C.01.) | Les journaux de flux du cloud privé virtuel (VPC) fournissent des enregistrements détaillés contenant des informations sur le trafic IP à destination et en provenance des interfaces réseau de votre Amazon VPC. Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole. | |
| 3623 | Sécurité des passerelles, passerelles, zones démilitarisées (19.1.14. C.02.) | Ce contrôle vérifie si les domaines Elasticsearch se trouvent dans un cloud privé virtuel (VPC). Il n'évalue pas la configuration de routage du sous-réseau VPC pour déterminer l'accès public. Vous devez vous assurer que les domaines Elasticsearch ne sont pas attachés à des sous-réseaux publics. Les domaines Elasticsearch déployés au sein d'un VPC peuvent communiquer avec les ressources du VPC via le réseau AWS privé, sans qu'il soit nécessaire de passer par l'Internet public. Cette configuration augmente le niveau de sécurité en limitant l'accès aux données en transit. Les VPC fournissent un certain nombre de contrôles réseau pour sécuriser l'accès aux domaines Elasticsearch, notamment les ACL réseau et les groupes de sécurité | |
| 3623 | Sécurité des passerelles, passerelles, zones démilitarisées (19.1.14. C.02.) | Gérez l'accès aux ressources dans le cloud AWS en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| 3623 | Sécurité des passerelles, passerelles, zones démilitarisées (19.1.14. C.02.) | Gérez l'accès aux ressources dans le cloud AWS en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| 3875 | Sécurité du réseau, détection et prévention des intrusions, gestion des événements et corrélation (18.4.12). C.01.) | AWS Security Hub permet de surveiller le personnel, les connexions, les appareils et les logiciels non autorisés. AWS Security Hub regroupe, organise et hiérarchise les alertes de sécurité, ou les résultats, provenant de plusieurs services AWS. Parmi ces services figurent Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer, AWS Firewall Manager et les solutions AWS Partner. | |
| 4441 | Gestion des données, bases de données, fichiers de base de données (20.4.4. C.02.) | Ce contrôle vérifie si la configuration du chiffrement au repos est activée dans les domaines Elasticsearch. La vérification échoue si le chiffrement au repos n'est pas activé. Pour renforcer la sécurité des données sensibles, vous devez configurer votre domaine Elasticsearch Service pour qu'il soit chiffré au repos. Lorsque vous configurez le chiffrement des données au repos, Amazon Key Management Service (KMS) stocke et gère vos clés de chiffrement. Pour effectuer le chiffrement, AWS KMS utilise l'algorithme Advanced Encryption Standard avec des clés de 256 bits ()AES-256. | |
| 4441 | Gestion des données, bases de données, fichiers de base de données (20.4.4. C.02.) | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
| 4441 | Gestion des données, bases de données, fichiers de base de données (20.4.4. C.02.) | Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données. | |
| 4441 | Gestion des données, bases de données, fichiers de base de données (20.4.4. C.02.) | Gérez l'accès aux ressources dans le cloud AWS en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| 4441 | Gestion des données, bases de données, fichiers de base de données (20.4.4. C.02.) | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos dans les instances Amazon RDS, activez le chiffrement au repos pour protéger ces données. | |
| 4441 | Gestion des données, bases de données, fichiers de base de données (20.4.4. C.02.) | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle définit le cluster DbEncrypted sur TRUE et LoggingEnabled sur TRUE. | |
| 4445 | Gestion des données, bases de données, responsabilité (20.4.5. C.02.) | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
| 4445 | Gestion des données, bases de données, responsabilité (20.4.5. C.02.) | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle définit le cluster DbEncrypted sur TRUE et LoggingEnabled sur TRUE. | |
| 4829 | Sécurité des systèmes d'entreprise, informatique en nuage, disponibilité des systèmes (22.1.23. C.01.) | Amazon DynamoDB Auto Scaling utilise le service AWS Application Auto Scaling pour ajuster la capacité de débit allouée afin de répondre automatiquement aux modèles de trafic réels. Cela permet à une table ou à un index secondaire global d'augmenter sa read/write capacité provisionnée afin de gérer les augmentations soudaines du trafic, sans limitation. | |
| 4829 | Sécurité des systèmes d'entreprise, informatique en nuage, disponibilité des systèmes (22.1.23. C.01.) | Activez l'équilibrage de charge entre zones pour vos équilibreurs de charge Elastic Load Balancing (ELB) afin de maintenir une capacité et une disponibilité adéquates. L'équilibrage de charge entre zones réduit la nécessité de maintenir un nombre équivalent d'instances dans chaque zone de disponibilité activée. Cela améliore également la capacité de votre application à gérer la perte d'une ou de plusieurs instances. | |
| 4838 | Sécurité des systèmes d'entreprise, cloud computing, accès non autorisé (22.1.24). C.03.) | La collecte d'événements de données Simple Storage Service (Amazon S3) aide à détecter toute activité anormale. Les détails incluent les informations du compte AWS qui a accédé à un compartiment Amazon S3, l'adresse IP et l'heure de l'événement. | |
| 4838 | Sécurité des systèmes d'entreprise, cloud computing, accès non autorisé (22.1.24). C.03.) | Gérez l'accès au cloud AWS en vous assurant que les instantanés Amazon Elastic Block Store (EBS) ne sont pas restaurables publiquement. Les instantanés des volumes EBS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| 4838 | Sécurité des systèmes d'entreprise, cloud computing, accès non autorisé (22.1.24). C.03.) | Gérez l'accès aux ressources dans le cloud AWS en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle définit ignore PublicAcls à TRUE, block PublicPolicy à VRAI, block PublicAcls à VRAI et restrict PublicBuckets à TRUE. | |
| 4838 | Sécurité des systèmes d'entreprise, cloud computing, accès non autorisé (22.1.24). C.03.) | Gérez l'accès aux ressources du cloud AWS en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| 4838 | Sécurité des systèmes d'entreprise, cloud computing, accès non autorisé (22.1.24). C.03.) | Gérez l'accès aux ressources du cloud AWS en autorisant uniquement les utilisateurs, les processus et les appareils autorisés à accéder aux compartiments Amazon Simple Storage Service (Amazon S3). La gestion des accès doit être cohérente avec la classification des données. | |
| 4839 | Sécurité des systèmes d'entreprise, cloud computing, accès non autorisé (22.1.24). C.04.) | Assurez-vous que le chiffrement est activé pour vos tables Amazon DynamoDB. Comme il peut y avoir des données sensibles au repos dans ces tables, activez le chiffrement au repos pour protéger ces données. Par défaut, les tables DynamoDB sont chiffrées à l'aide d'une clé Amazon Key Management Service (KMS) appartenant à AWS. | |
| 4839 | Sécurité des systèmes d'entreprise, cloud computing, accès non autorisé (22.1.24). C.04.) | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour votre Amazon Elastic File System (EFS). | |
| 4839 | Sécurité des systèmes d'entreprise, cloud computing, accès non autorisé (22.1.24). C.04.) | Ce contrôle vérifie si la configuration du chiffrement au repos est activée dans les domaines Elasticsearch. La vérification échoue si le chiffrement au repos n'est pas activé. Pour renforcer la sécurité des données sensibles, vous devez configurer votre domaine Elasticsearch Service pour qu'il soit chiffré au repos. Lorsque vous configurez le chiffrement des données au repos, Amazon Key Management Service (KMS) stocke et gère vos clés de chiffrement. Pour effectuer le chiffrement, AWS KMS utilise l'algorithme Advanced Encryption Standard avec des clés de 256 bits ()AES-256. | |
| 4839 | Sécurité des systèmes d'entreprise, cloud computing, accès non autorisé (22.1.24). C.04.) | Ce contrôle vérifie si le chiffrement nœud à nœud est activé dans les domaines Elasticsearch. Ce contrôle échoue si le chiffrement nœud à nœud est désactivé sur le domaine. Le protocole HTTPS (TLS) peut être utilisé pour empêcher les attaquants potentiels d'espionner ou de manipuler le trafic réseau par le biais d'attaques de type « person-in-the-middle » ou d'attaques similaires. Seules les connexions chiffrées via HTTPS (TLS) doivent être autorisées. L'activation du chiffrement nœud à nœud pour les domaines Elasticsearch garantit que les communications intra-cluster sont chiffrées en transit. | |
| 4839 | Sécurité des systèmes d'entreprise, cloud computing, accès non autorisé (22.1.24). C.04.) | Assurez-vous que vos équilibreurs de charge Elastic Load Balancing (ELB) sont configurés avec des écouteurs SSL ou HTTPS. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 4839 | Sécurité des systèmes d'entreprise, cloud computing, accès non autorisé (22.1.24). C.04.) | Comme il peut y avoir des données sensibles et pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos volumes Amazon Elastic Block Store (Amazon EBS). | |
| 4839 | Sécurité des systèmes d'entreprise, cloud computing, accès non autorisé (22.1.24). C.04.) | Assurez-vous que le chiffrement est activé pour vos instantanés Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos, activez le chiffrement au repos pour protéger ces données. | |
| 4839 | Sécurité des systèmes d'entreprise, cloud computing, accès non autorisé (22.1.24). C.04.) | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos instances Amazon Relational Database Service (Amazon RDS). Comme il peut y avoir des données sensibles au repos dans les instances Amazon RDS, activez le chiffrement au repos pour protéger ces données. | |
| 4839 | Sécurité des systèmes d'entreprise, cloud computing, accès non autorisé (22.1.24). C.04.) | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos clusters Amazon Redshift. Vous devez également vous assurer que les configurations requises sont déployées sur les clusters Amazon Redshift. La journalisation des audits doit être activée pour fournir des informations sur les connexions et les activités de l'utilisateur dans la base de données. Cette règle définit le cluster DbEncrypted sur TRUE et LoggingEnabled sur TRUE. | |
| 4839 | Sécurité des systèmes d'entreprise, cloud computing, accès non autorisé (22.1.24). C.04.) | Assurez-vous que vos clusters Amazon Redshift nécessitent un TLS/SSL chiffrement pour se connecter aux clients SQL. Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 4839 | Sécurité des systèmes d'entreprise, cloud computing, accès non autorisé (22.1.24). C.04.) | Pour protéger les données en transit, assurez-vous que vos compartiments Amazon Simple Storage Service (Amazon S3) exigent que les demandes utilisent Secure Socket Layer (SSL). Comme il peut y avoir des données sensibles, activez le chiffrement en transit pour protéger ces données. | |
| 4839 | Sécurité des systèmes d'entreprise, cloud computing, accès non autorisé (22.1.24). C.04.) | Pour protéger les données au repos, assurez-vous que le chiffrement avec AWS Key Management Service (AWS KMS) est activé pour les secrets d'AWS Secrets Manager. Comme il peut y avoir des données sensibles au repos dans les secrets de Secrets Manager, activez le chiffrement au repos pour protéger ces données. | |
| 4849 | Sécurité des systèmes d'entreprise, cloud computing, sauvegarde, restauration, archivage et rémanence des données (22.1.26). C.01.) | La fonctionnalité de sauvegarde d'Amazon Relational Database Service (RDS) crée des sauvegardes de vos bases de données et de vos journaux de transactions. Amazon RDS crée automatiquement un instantané du volume de stockage de votre instance de base de données, en sauvegardant l'intégralité de cette dernière. Le système vous permet de définir des périodes de conservation spécifiques pour répondre à vos exigences de résilience. | |
| 4849 | Sécurité des systèmes d'entreprise, cloud computing, sauvegarde, restauration, archivage et rémanence des données (22.1.26). C.01.) | Activez cette règle pour vérifier que les informations ont été sauvegardées. Elle maintient également les sauvegardes en s'assurant que la récupération ponctuelle est activée dans Amazon DynamoDB. La récupération permet de maintenir des sauvegardes continues de votre table pour les 35 derniers jours. | |
| 4849 | Sécurité des systèmes d'entreprise, cloud computing, sauvegarde, restauration, archivage et rémanence des données (22.1.26). C.01.) | Lorsque les sauvegardes automatiques sont activées, Amazon ElastiCache crée une sauvegarde du cluster quotidiennement. La sauvegarde peut être conservée pendant un nombre de jours défini par votre organisation. Les sauvegardes automatiques peuvent constituer une protection contre la perte de données. En cas de défaillance, vous pouvez créer un nouveau cluster, ce qui restaurera vos données à partir de la sauvegarde la plus récente. | |
| 4849 | Sécurité des systèmes d'entreprise, cloud computing, sauvegarde, restauration, archivage et rémanence des données (22.1.26). C.01.) | Assurez-vous que la protection contre les suppressions est activée sur les instances Amazon Relational Database Service (RDS). Utilisez la protection contre la suppression pour empêcher la suppression accidentelle ou malveillante de vos instances RDS, ce qui peut entraîner une perte de disponibilité pour vos applications. | |
| 4849 | Sécurité des systèmes d'entreprise, cloud computing, sauvegarde, restauration, archivage et rémanence des données (22.1.26). C.01.) | Assurez-vous que la protection contre la suppression est activée sur les instances Amazon Relational Database Service (Amazon RDS). Utilisez la protection contre la suppression pour empêcher la suppression accidentelle ou malveillante des instances Amazon RDS, ce qui pourrait entraîner une perte de disponibilité pour vos applications. | |
| 4849 | Sécurité des systèmes d'entreprise, cloud computing, sauvegarde, restauration, archivage et rémanence des données (22.1.26). C.01.) | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos clusters Amazon Redshift disposent d'instantanés automatisés. Lorsque les instantanés automatiques sont activés pour un cluster, Redshift prend régulièrement des instantanés de ce cluster. Par défaut, Redshift prend un instantané toutes les 8 heures ou tous les 5 Go par nœud de modifications de données, selon la première de ces deux éventualités. | |
| 6860 | Contrôle d'accès et mots de passe, gestion, surveillance et révision des accès privilégiés (16.4.35. C.02.) | Vous devez configurer l' CloudTrail option CloudWatch Logs pour surveiller vos journaux de suivi et être averti lorsqu'une activité spécifique se produit. Cette règle vérifie si les CloudTrail traces AWS sont configurées pour envoyer des journaux à Amazon CloudWatch Logs. | |
| 6860 | Contrôle d'accès et mots de passe, gestion, surveillance et révision des accès privilégiés (16.4.35. C.02.) | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de l'AWS Management Console et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes AWS qui ont appelé un service AWS, l'adresse IP source à partir de laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont disponibles dans le contenu des CloudTrail enregistrements AWS. | |
| 6861 | Contrôle d'accès et mots de passe, gestion, surveillance et révision des accès privilégiés (16.4.35. C.03.) | Cette règle permet de garantir l'utilisation des meilleures pratiques de sécurité recommandées par AWS CloudTrail, en vérifiant l'activation de plusieurs paramètres. Il s'agit notamment de l'utilisation du chiffrement des journaux, de la validation des journaux et de l'activation d'AWS CloudTrail dans plusieurs régions. | |
| 7466 | Sécurité du cloud public, protection des données dans le cloud public, accessibilité des données (23.4.10. C.01.) | Gérez l'accès au cloud AWS en vous assurant que les instances de réplication d'AWS Database Migration Service (DMS) ne sont pas accessibles au public. Les instances de réplication DMS peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| 7466 | Sécurité du cloud public, protection des données dans le cloud public, accessibilité des données (23.4.10. C.01.) | Assurez-vous que la méthode Service des métadonnées d'instance Version 2 (IMDSv2) est activée pour protéger l'accès aux métadonnées d'instance Amazon Elastic Compute Cloud (Amazon EC2) et leur contrôle. La méthode IMDSv2 utilise des contrôles basés sur la session. Avec IMDSv2, des contrôles peuvent être mis en œuvre pour limiter les modifications apportées aux métadonnées des instances. | |
| 7466 | Sécurité du cloud public, protection des données dans le cloud public, accessibilité des données (23.4.10. C.01.) | Gérez l'accès au cloud AWS en vous assurant que les instances Amazon Elastic Compute Cloud (Amazon EC2) ne sont pas accessibles au public. Les instances Amazon EC2 peuvent contenir des informations sensibles, c'est pourquoi un contrôle des accès est requis pour ces comptes. | |
| 7466 | Sécurité du cloud public, protection des données dans le cloud public, accessibilité des données (23.4.10. C.01.) | Déployez des instances Amazon Elastic Compute Cloud (Amazon EC2) au sein d'un Amazon Virtual Private Cloud (Amazon VPC) pour permettre une communication sécurisée entre une instance et d'autres services au sein d'Amazon VPC, sans nécessiter de passerelle Internet, d'appareil NAT ou de connexion VPN. Tout le trafic reste en toute sécurité dans le cloud AWS. En raison de leur isolement logique, les domaines résidant au sein d'un réseau Amazon VPC possèdent une couche de sécurité supplémentaire par rapport aux domaines qui utilisent des points de terminaison publics. Attribuez des instances Amazon EC2 à un réseau Amazon VPC pour une gestion correcte des accès. | |
| 7466 | Sécurité du cloud public, protection des données dans le cloud public, accessibilité des données (23.4.10. C.01.) | Ce contrôle vérifie si les domaines Elasticsearch se trouvent dans un cloud privé virtuel (VPC). Il n'évalue pas la configuration de routage du sous-réseau VPC pour déterminer l'accès public. Vous devez vous assurer que les domaines Elasticsearch ne sont pas attachés à des sous-réseaux publics. Les domaines Elasticsearch déployés au sein d'un VPC peuvent communiquer avec les ressources du VPC via le réseau AWS privé, sans qu'il soit nécessaire de passer par l'Internet public. Cette configuration augmente le niveau de sécurité en limitant l'accès aux données en transit. Les VPC fournissent un certain nombre de contrôles réseau pour sécuriser l'accès aux domaines Elasticsearch, notamment les ACL réseau et les groupes de sécurité | |
| 7466 | Sécurité du cloud public, protection des données dans le cloud public, accessibilité des données (23.4.10. C.01.) | Gérez l'accès aux ressources dans le cloud AWS en vous assurant que les instances Amazon Relational Database Service (Amazon RDS) ne sont pas publiques. Les instances de base de données Amazon RDS peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| 7466 | Sécurité du cloud public, protection des données dans le cloud public, accessibilité des données (23.4.10. C.01.) | Gérez l'accès aux ressources dans le cloud AWS en vous assurant que les clusters Amazon Redshift ne sont pas publics. Les clusters Amazon Redshift peuvent contenir des informations sensibles, c'est pourquoi des principes et un contrôle des accès sont requis pour ces comptes. | |
| 7466 | Sécurité du cloud public, protection des données dans le cloud public, accessibilité des données (23.4.10. C.01.) | Gérez l'accès aux ressources dans le cloud AWS en veillant à ce que les compartiments Amazon Simple Storage Service (Amazon S3) ne soient pas accessibles au public. Cette règle permet de protéger les données sensibles contre les utilisateurs distants non autorisés en empêchant l'accès public. Cette règle définit ignore PublicAcls à TRUE, block PublicPolicy à VRAI, block PublicAcls à VRAI et restrict PublicBuckets à TRUE. | |
| 7466 | Sécurité du cloud public, protection des données dans le cloud public, accessibilité des données (23.4.10. C.01.) | Assurez-vous que les documents AWS Systems Manager (SSM) ne sont pas publics, car cela peut permettre un accès involontaire à vos documents SSM. Un document SSM public peut exposer des informations sur votre compte, vos ressources et vos processus internes. | |
| 7466 | Sécurité du cloud public, protection des données dans le cloud public, accessibilité des données (23.4.10. C.01.) | Les groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) peuvent contribuer à la gestion de l'accès au réseau en fournissant un filtrage dynamique du trafic réseau entrant et sortant vers les ressources AWS. La restriction de l'ensemble du trafic sur le groupe de sécurité par défaut permet de restreindre l'accès à distance à vos ressources AWS. | |
| 7466 | Sécurité du cloud public, protection des données dans le cloud public, accessibilité des données (23.4.10. C.01.) | Les journaux de flux du cloud privé virtuel (VPC) fournissent des enregistrements détaillés contenant des informations sur le trafic IP à destination et en provenance des interfaces réseau de votre Amazon VPC. Par défaut, le journal de flux inclut des valeurs pour les différents composants du flux IP, y compris la source, la destination et le protocole. | |
| 7496 | Sécurité du cloud public, journalisation et alertes dans le cloud public, exigences de journalisation (23.5.11. C.01.) | Utilisez la validation des fichiers CloudTrail journaux AWS pour vérifier l'intégrité des CloudTrail journaux. La validation du fichier journal permet de déterminer si un fichier journal a été modifié, supprimé ou inchangé après CloudTrail sa livraison. Cette fonctionnalité est développée à l'aide d'algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour la signature numérique. Il est donc impossible, sur le plan informatique, de modifier, de supprimer ou de falsifier des fichiers CloudTrail journaux sans détection. | |
| 7496 | Sécurité du cloud public, journalisation et alertes dans le cloud public, exigences de journalisation (23.5.11. C.01.) | Ce contrôle vérifie si la journalisation des accès au serveur est activée sur les CloudFront distributions. Le contrôle échoue si la journalisation des accès n'est pas activée pour une distribution. CloudFront les journaux d'accès fournissent des informations détaillées sur chaque demande d'utilisateur CloudFront reçue. Chaque journal contient des informations telles que la date et l'heure de réception de la demande, l'adresse IP de l'utilisateur qui a fait la demande, la source de la demande et le numéro de port de la demande formulée par l'utilisateur. Ces journaux sont utiles pour des applications telles que les audits de sécurité et d'accès et les enquêtes judiciaires. Cette règle doit être appliquée dans la région us-east-1. | |
| 7496 | Sécurité du cloud public, journalisation et alertes dans le cloud public, exigences de journalisation (23.5.11. C.01.) | AWS CloudTrail peut contribuer à la non-répudiation en enregistrant les actions de l'AWS Management Console et les appels d'API. Vous pouvez identifier les utilisateurs et les comptes AWS qui ont appelé un service AWS, l'adresse IP source à partir de laquelle les appels ont été générés et les horaires des appels. Les détails des données capturées sont disponibles dans le contenu des CloudTrail enregistrements AWS. | |
| 7496 | Sécurité du cloud public, journalisation et alertes dans le cloud public, exigences de journalisation (23.5.11. C.01.) | Pour protéger les données sensibles au repos, assurez-vous que le chiffrement est activé pour vos Amazon CloudWatch Log Groups. | |
| 7496 | Sécurité du cloud public, journalisation et alertes dans le cloud public, exigences de journalisation (23.5.11. C.01.) | L'activité Elastic Load Balancing est un point de communication central au sein d'un environnement. Assurez-vous que la journalisation ELB est activée. Les données collectées fournissent des informations détaillées sur les demandes envoyées à l'ELB. Chaque journal contient des informations comme l'heure à laquelle la demande a été reçue, l'adresse IP du client, les latences, les chemins de demande et les réponses du serveur. | |
| 7496 | Sécurité du cloud public, journalisation et alertes dans le cloud public, exigences de journalisation (23.5.11. C.01.) | Pour faciliter la journalisation et la surveillance au sein de votre environnement, assurez-vous que la journalisation Amazon Relational Database Service (Amazon RDS) est activée. Avec la journalisation Amazon RDS, vous pouvez capturer des événements tels que des connexions, des déconnexions, des requêtes ou des tables interrogées. | |
| 7545 | Contrôle d'accès et mots de passe, identification, authentification et authentification, mots de passe et politiques (16.1.31. C.02.) | Des modifications annuelles des mots de passe sont requises sur les systèmes qui n'ont pas mis en œuvre l'authentification multifactorielle (MFA) ou l'authentification sans mot de passe. Comme ce pack de conformité contient la règle de configuration compatible avec iam-user-mfa, ce contrôle garantit le changement de mot de passe tous les trois ans. | |
| 7546 | Contrôle d'accès et mots de passe, identification, authentification et authentification, mots de passe et politiques (16.1.31. C.03.) | Assurez-vous que la longueur minimale du mot de passe est de 16 caractères (par exemple quatre mots). Les mots de passe doivent être longs, forts et uniques. Aucune exigence de complexité explicite n'est appliquée (par exemple des chiffres ou des caractères spéciaux), mais les mots de passe doivent être uniques ou aléatoires et peuvent inclure des caractères spéciaux et des chiffres pour y parvenir. |
Modèle
################################################################################## # # Conformance Pack: # Operational Best Practices for NZISM NZ Transition # # This conformance pack helps verify compliance with NZISM requirements. # ################################################################################## Resources: AcmCertificateExpirationCheck: Controls: [ '1667' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: acm-certificate-expiration-check InputParameters: daysToExpiration: '30' Scope: ComplianceResourceTypes: - AWS::ACM::Certificate Source: Owner: AWS SourceIdentifier: ACM_CERTIFICATE_EXPIRATION_CHECK Description: "SHOULD 14.5.8.C.01[CID:1667]| Software security/Web Application Development/Web applications" AlbHttpToHttpsRedirectionCheck: Controls: [ '1847', '2090' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: alb-http-to-https-redirection-check Source: Owner: AWS SourceIdentifier: ALB_HTTP_TO_HTTPS_REDIRECTION_CHECK Description: "MUST 16.1.37.C.01[CID:1847], MUST 17.1.55.C.02[CID:2090]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in t..." CloudTrailCloudWatchLogsEnabled: Controls: [ '1998', '6860' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloud-trail-cloud-watch-logs-enabled Source: Owner: AWS SourceIdentifier: CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED Description: "SHOULD 16.6.6.C.02[CID:1998], MUST 16.4.35.C.02[CID:6860]| Access Control and Passwords: (Event Logging and Auditing/Maintaining system management logs and Privileged..." CloudTrailEncryptionEnabled: Controls: [ '2082' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloud-trail-encryption-enabled Source: Owner: AWS SourceIdentifier: CLOUD_TRAIL_ENCRYPTION_ENABLED Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements" CloudTrailLogFileValidationEnabled: Controls: [ '2022', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloud-trail-log-file-validation-enabled Source: Owner: AWS SourceIdentifier: CLOUD_TRAIL_LOG_FILE_VALIDATION_ENABLED Description: "MUST 16.6.12.C.01[CID:2022], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Event log protection and Public Cloud Security/Loggi..." CloudfrontAccesslogsEnabled: Condition: IsEdge Controls: [ '2013', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudfront-accesslogs-enabled Source: Owner: AWS SourceIdentifier: CLOUDFRONT_ACCESSLOGS_ENABLED Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..." CloudfrontAssociatedWithWaf: Condition: IsEdge Controls: [ '3562' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudfront-associated-with-waf Source: Owner: AWS SourceIdentifier: CLOUDFRONT_ASSOCIATED_WITH_WAF Description: "MUST 19.1.12.C.01[CID:3562]| Gateway security/Gateways/Configuration of gateways" CloudfrontDefaultRootObjectConfigured: Condition: IsEdge Controls: [ '1661' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudfront-default-root-object-configured Source: Owner: AWS SourceIdentifier: CLOUDFRONT_DEFAULT_ROOT_OBJECT_CONFIGURED Description: "SHOULD 14.5.6.C.01[CID:1661]| Software security/Web Application Development/Agency website content" CloudfrontViewerPolicyHttps: Condition: IsEdge Controls: [ '1847' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudfront-viewer-policy-https Source: Owner: AWS SourceIdentifier: CLOUDFRONT_VIEWER_POLICY_HTTPS Description: "MUST 16.1.37.C.01[CID:1847]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in transit" CloudtrailEnabled: Controls: [ '1998', '2013', '6860', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudtrail-enabled Source: Owner: AWS SourceIdentifier: CLOUD_TRAIL_ENABLED Description: "SHOULD 16.6.6.C.02[CID:1998], SHOULD 16.6.10.C.02[CID:2013], MUST 16.4.35.C.02[CID:6860], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords: (Event Logging and..." CloudtrailS3DataeventsEnabled: Controls: [ '4838' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudtrail-s3-dataevents-enabled Source: Owner: AWS SourceIdentifier: CLOUDTRAIL_S3_DATAEVENTS_ENABLED Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access" CloudtrailSecurityTrailEnabled: Controls: [ '6861' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudtrail-security-trail-enabled Source: Owner: AWS SourceIdentifier: CLOUDTRAIL_SECURITY_TRAIL_ENABLED Description: "MUST 16.4.35.C.03[CID:6861]| Access Control and Passwords/Privileged Access Management/Monitoring and Review" CloudwatchLogGroupEncrypted: Controls: [ '2022', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudwatch-log-group-encrypted Source: Owner: AWS SourceIdentifier: CLOUDWATCH_LOG_GROUP_ENCRYPTED Description: "MUST 16.6.12.C.01[CID:2022], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Event log protection and Public Cloud Security/Loggi..." CmkBackingKeyRotationEnabled: Controls: [ '3021' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cmk-backing-key-rotation-enabled Source: Owner: AWS SourceIdentifier: CMK_BACKING_KEY_ROTATION_ENABLED Description: "SHOULD 17.9.25.C.01[CID:3021]| Cryptography/Key Management/Contents of KMPs" CwLoggroupRetentionPeriodCheck: Controls: [ '1998', '2028' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cw-loggroup-retention-period-check InputParameters: MinRetentionTime: '545' Source: Owner: AWS SourceIdentifier: CW_LOGGROUP_RETENTION_PERIOD_CHECK Description: "SHOULD 16.6.6.C.02[CID:1998], MUST 16.6.13.C.01[CID:2028]| Access Control and Passwords/Event Logging and Auditing: (Maintaining system management logs and Event log ..." DbInstanceBackupEnabled: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: db-instance-backup-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: DB_INSTANCE_BACKUP_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" DmsReplicationNotPublic: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: dms-replication-not-public Source: Owner: AWS SourceIdentifier: DMS_REPLICATION_NOT_PUBLIC Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." DynamodbAutoscalingEnabled: Controls: [ '4829' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: dynamodb-autoscaling-enabled Scope: ComplianceResourceTypes: - AWS::DynamoDB::Table Source: Owner: AWS SourceIdentifier: DYNAMODB_AUTOSCALING_ENABLED Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability" DynamodbPitrEnabled: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: dynamodb-pitr-enabled Scope: ComplianceResourceTypes: - AWS::DynamoDB::Table Source: Owner: AWS SourceIdentifier: DYNAMODB_PITR_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" DynamodbTableEncryptedKms: Controls: [ '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: dynamodb-table-encrypted-kms Scope: ComplianceResourceTypes: - AWS::DynamoDB::Table Source: Owner: AWS SourceIdentifier: DYNAMODB_TABLE_ENCRYPTED_KMS Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access" EbsSnapshotPublicRestorableCheck: Controls: [ '4838' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ebs-snapshot-public-restorable-check Source: Owner: AWS SourceIdentifier: EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access" Ec2EbsEncryptionByDefault: Controls: [ '2082' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ec2-ebs-encryption-by-default Source: Owner: AWS SourceIdentifier: EC2_EBS_ENCRYPTION_BY_DEFAULT Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements" Ec2Imdsv2Check: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ec2-imdsv2-check Scope: ComplianceResourceTypes: - AWS::EC2::Instance Source: Owner: AWS SourceIdentifier: EC2_IMDSV2_CHECK Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." Ec2InstanceNoPublicIp: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ec2-instance-no-public-ip Scope: ComplianceResourceTypes: - AWS::EC2::Instance Source: Owner: AWS SourceIdentifier: EC2_INSTANCE_NO_PUBLIC_IP Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." Ec2InstancesInVpc: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ec2-instances-in-vpc Scope: ComplianceResourceTypes: - AWS::EC2::Instance Source: Owner: AWS SourceIdentifier: INSTANCES_IN_VPC Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." EfsEncryptedCheck: Controls: [ '2082', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: efs-encrypted-check Source: Owner: AWS SourceIdentifier: EFS_ENCRYPTED_CHECK Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements and Enterpri..." ElasticacheRedisClusterAutomaticBackupCheck: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elasticache-redis-cluster-automatic-backup-check Source: Owner: AWS SourceIdentifier: ELASTICACHE_REDIS_CLUSTER_AUTOMATIC_BACKUP_CHECK Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" ElasticsearchEncryptedAtRest: Controls: [ '2082', '4441', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elasticsearch-encrypted-at-rest Source: Owner: AWS SourceIdentifier: ELASTICSEARCH_ENCRYPTED_AT_REST Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..." ElasticsearchInVpcOnly: Controls: [ '3562', '3623', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elasticsearch-in-vpc-only Source: Owner: AWS SourceIdentifier: ELASTICSEARCH_IN_VPC_ONLY Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..." ElasticsearchNodeToNodeEncryptionCheck: Controls: [ '1847', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elasticsearch-node-to-node-encryption-check Scope: ComplianceResourceTypes: - AWS::Elasticsearch::Domain Source: Owner: AWS SourceIdentifier: ELASTICSEARCH_NODE_TO_NODE_ENCRYPTION_CHECK Description: "MUST 16.1.37.C.01[CID:1847], SHOULD 22.1.24.C.04[CID:4839]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in..." ElbCrossZoneLoadBalancingEnabled: Controls: [ '4829' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elb-cross-zone-load-balancing-enabled Scope: ComplianceResourceTypes: - AWS::ElasticLoadBalancing::LoadBalancer Source: Owner: AWS SourceIdentifier: ELB_CROSS_ZONE_LOAD_BALANCING_ENABLED Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability" ElbCustomSecurityPolicySslCheck: Controls: [ '2598', '2600' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elb-custom-security-policy-ssl-check InputParameters: sslProtocolsAndCiphers: 'Protocol-TLSv1.2,ECDHE-ECDSA-AES256-GCM-SHA384' Scope: ComplianceResourceTypes: - AWS::ElasticLoadBalancing::LoadBalancer Source: Owner: AWS SourceIdentifier: ELB_CUSTOM_SECURITY_POLICY_SSL_CHECK Description: "SHOULD 17.4.16.C.01[CID:2598], SHOULD NOT 17.4.16.C.02[CID:2600]| Cryptography/Transport Layer Security/Using TLS" ElbLoggingEnabled: Controls: [ '2013', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elb-logging-enabled Scope: ComplianceResourceTypes: - AWS::ElasticLoadBalancing::LoadBalancer - AWS::ElasticLoadBalancingV2::LoadBalancer Source: Owner: AWS SourceIdentifier: ELB_LOGGING_ENABLED Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..." ElbTlsHttpsListenersOnly: Controls: [ '1667', '1847', '2090', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elb-tls-https-listeners-only Scope: ComplianceResourceTypes: - AWS::ElasticLoadBalancing::LoadBalancer Source: Owner: AWS SourceIdentifier: ELB_TLS_HTTPS_LISTENERS_ONLY Description: "SHOULD 14.5.8.C.01[CID:1667], MUST 16.1.37.C.01[CID:1847], MUST 17.1.55.C.02[CID:2090], SHOULD 22.1.24.C.04[CID:4839]| Software security/Web Application Development/We..." EncryptedVolumes: Controls: [ '2082', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: encrypted-volumes Scope: ComplianceResourceTypes: - AWS::EC2::Volume Source: Owner: AWS SourceIdentifier: ENCRYPTED_VOLUMES Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements and Enterpri..." IamPasswordPolicy: Controls: [ '7545', '7546' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: iam-password-policy InputParameters: MaxPasswordAge: '1095' MinimumPasswordLength: '16' PasswordReusePrevention: '24' RequireUppercaseCharacters: 'false' RequireLowercaseCharacters: 'false' RequireSymbols: 'false' RequireNumbers: 'false' Source: Owner: AWS SourceIdentifier: IAM_PASSWORD_POLICY Description: "MUST 16.1.31.C.02[CID:7545], MUST 16.1.31.C.03[CID:7546]| Access Control and Passwords/Identification, Authentication and Authentication/Passwords and policy" RdsAutomaticMinorVersionUpgradeEnabled: Controls: [ '3452' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-automatic-minor-version-upgrade-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_AUTOMATIC_MINOR_VERSION_UPGRADE_ENABLED Description: "SHOULD 12.4.4.C.05[CID:3452]| Product Security/Product Patching and Updating/Patching vulnerabilities in products" RdsClusterDeletionProtectionEnabled: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-cluster-deletion-protection-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBCluster Source: Owner: AWS SourceIdentifier: RDS_CLUSTER_DELETION_PROTECTION_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" RdsInstanceDeletionProtectionEnabled: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-instance-deletion-protection-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_INSTANCE_DELETION_PROTECTION_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" RdsInstancePublicAccessCheck: Controls: [ '3562', '3623', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-instance-public-access-check Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_INSTANCE_PUBLIC_ACCESS_CHECK Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..." RdsLoggingEnabled: Controls: [ '2013', '4441', '4445', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-logging-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_LOGGING_ENABLED Description: "SHOULD 16.6.10.C.02[CID:2013], SHOULD 20.4.4.C.02[CID:4441], SHOULD 20.4.5.C.02[CID:4445], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and ..." RdsSnapshotEncrypted: Controls: [ '2082', '4441', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-snapshot-encrypted Scope: ComplianceResourceTypes: - AWS::RDS::DBSnapshot - AWS::RDS::DBClusterSnapshot Source: Owner: AWS SourceIdentifier: RDS_SNAPSHOT_ENCRYPTED Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..." RdsSnapshotsPublicProhibited: Controls: [ '4441' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-snapshots-public-prohibited Scope: ComplianceResourceTypes: - AWS::RDS::DBSnapshot - AWS::RDS::DBClusterSnapshot Source: Owner: AWS SourceIdentifier: RDS_SNAPSHOTS_PUBLIC_PROHIBITED Description: "SHOULD 20.4.4.C.02[CID:4441]| Data management/Databases/Database files" RdsStorageEncrypted: Controls: [ '2082', '4441', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-storage-encrypted Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_STORAGE_ENCRYPTED Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..." RedshiftBackupEnabled: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: redshift-backup-enabled Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_BACKUP_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" RedshiftClusterConfigurationCheck: Controls: [ '4441', '4445', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: redshift-cluster-configuration-check InputParameters: clusterDbEncrypted: 'true' loggingEnabled: 'true' Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_CLUSTER_CONFIGURATION_CHECK Description: "SHOULD 20.4.4.C.02[CID:4441], SHOULD 20.4.5.C.02[CID:4445], SHOULD 22.1.24.C.04[CID:4839]| Data management/Databases: (Database files and Accountability) and Enterpr..." RedshiftClusterMaintenancesettingsCheck: Controls: [ '3449', '3453' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: redshift-cluster-maintenancesettings-check InputParameters: allowVersionUpgrade: 'true' Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_CLUSTER_MAINTENANCESETTINGS_CHECK Description: "MUST 12.4.4.C.02[CID:3449], SHOULD 12.4.4.C.06[CID:3453]| Product Security/Product Patching and Updating/Patching vulnerabilities in products" RedshiftClusterPublicAccessCheck: Controls: [ '3562', '3623', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: redshift-cluster-public-access-check Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..." RedshiftRequireTlsSsl: Controls: [ '2090', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: redshift-require-tls-ssl Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_REQUIRE_TLS_SSL Description: "MUST 17.1.55.C.02[CID:2090], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Information and Systems Protection and Enterprise systems security..." RestrictedSsh: Controls: [ '2726' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: restricted-ssh Scope: ComplianceResourceTypes: - AWS::EC2::SecurityGroup Source: Owner: AWS SourceIdentifier: INCOMING_SSH_DISABLED Description: "SHOULD 17.5.8.C.02[CID:2726]| Cryptography/Secure Shell/Automated remote access" S3AccountLevelPublicAccessBlocksPeriodic: Controls: [ '3562', '4838', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-account-level-public-access-blocks-periodic Source: Owner: AWS SourceIdentifier: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS_PERIODIC Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 22.1.24.C.03[CID:4838], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Enterprise systems se..." S3BucketPublicReadProhibited: Controls: [ '4838' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-bucket-public-read-prohibited Scope: ComplianceResourceTypes: - AWS::S3::Bucket Source: Owner: AWS SourceIdentifier: S3_BUCKET_PUBLIC_READ_PROHIBITED Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access" S3BucketPublicWriteProhibited: Controls: [ '4838' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-bucket-public-write-prohibited Scope: ComplianceResourceTypes: - AWS::S3::Bucket Source: Owner: AWS SourceIdentifier: S3_BUCKET_PUBLIC_WRITE_PROHIBITED Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access" S3BucketServerSideEncryptionEnabled: Controls: [ '2082' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-bucket-server-side-encryption-enabled Scope: ComplianceResourceTypes: - AWS::S3::Bucket Source: Owner: AWS SourceIdentifier: S3_BUCKET_SERVER_SIDE_ENCRYPTION_ENABLED Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements" S3BucketSslRequestsOnly: Controls: [ '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-bucket-ssl-requests-only Scope: ComplianceResourceTypes: - AWS::S3::Bucket Source: Owner: AWS SourceIdentifier: S3_BUCKET_SSL_REQUESTS_ONLY Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access" SecretsmanagerUsingCmk: Controls: [ '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: secretsmanager-using-cmk Scope: ComplianceResourceTypes: - AWS::SecretsManager::Secret Source: Owner: AWS SourceIdentifier: SECRETSMANAGER_USING_CMK Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access" SecurityhubEnabled: Controls: [ '3875' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: securityhub-enabled Source: Owner: AWS SourceIdentifier: SECURITYHUB_ENABLED Description: "SHOULD 18.4.12.C.01[CID:3875]| Network security/Intrusion Detection and Prevention/Event management and correlation" SsmDocumentNotPublic: Controls: [ '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ssm-document-not-public Source: Owner: AWS SourceIdentifier: SSM_DOCUMENT_NOT_PUBLIC Description: "MUST 23.4.10.C.01[CID:7466]| Public Cloud Security/Data Protection in Public Cloud/Data accessibility" VpcDefaultSecurityGroupClosed: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: vpc-default-security-group-closed Scope: ComplianceResourceTypes: - AWS::EC2::SecurityGroup Source: Owner: AWS SourceIdentifier: VPC_DEFAULT_SECURITY_GROUP_CLOSED Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." VpcFlowLogsEnabled: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: vpc-flow-logs-enabled Source: Owner: AWS SourceIdentifier: VPC_FLOW_LOGS_ENABLED Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." VpcSgOpenOnlyToAuthorizedPorts: Controls: [ '3205' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: vpc-sg-open-only-to-authorized-ports InputParameters: authorizedTcpPorts: '443' Scope: ComplianceResourceTypes: - AWS::EC2::SecurityGroup Source: Owner: AWS SourceIdentifier: VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS Description: "SHOULD 18.1.13.C.02[CID:3205]| Network security/Network Management/Limiting network access"
