View a markdown version of this page

Changements qui introduisent des risques de sécurité élevés ou très élevés dans votre environnement - Guide de l'utilisateur d'AMS Accelerate

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Changements qui introduisent des risques de sécurité élevés ou très élevés dans votre environnement

Les modifications suivantes présentent un risque de sécurité élevé ou très élevé dans votre environnement :

Gestion des identités et des accès AWS

  • High_Risk-IAM-001 : Création de clés d'accès pour le compte root

  • High_Risk-IAM-002 : Modification de la politique SCP pour autoriser un accès supplémentaire

  • High_Risk-IAM-003 : modification de la politique SCP susceptible de perturber l'infrastructure AMS

  • High_Risk-IAM-004 : Création d'une infrastructure role/user avec modification des autorisations (écriture, gestion des autorisations ou balisage) dans le compte client

  • High_Risk-IAM-005 : Les rôles IAM font confiance aux politiques entre les comptes AMS et les comptes tiers (non détenus par le client)

  • High_Risk-IAM-006 : Politiques entre comptes (permettant à un compte tiers d'accéder à n'importe quelle clé KMS depuis un compte AMS)

  • High_Risk-IAM-007 : politiques inter-comptes appliquées par des comptes tiers pour accéder au compartiment S3 d'un client AMS ou à des ressources où les données peuvent être stockées (Amazon RDS, Amazon DynamoDB ou Amazon Redshift, par exemple)

  • High_Risk-IAM-008 : Attribuez les autorisations IAM à toute autorisation modifiant l'infrastructure dans le compte client

  • High_Risk-IAM-009 : Autoriser le listage et la lecture de tous les compartiments S3 du compte

Sécurité du réseau

  • High_Risk-Net-001 : ports de gestion du système d'exploitation ouverts SSH/22 ou SSH/2222 (pas SFTP/2222), TELNET/23, RDP/3389, WinRM/5985-5986, VNC/ 5900-5901 TS/CITRIX/1494 ou 1604, LDAP/389 ou 636 et NETBIOS/137-139 depuis Internet

  • High_RISK-NET-002 : ports de gestion de base de données ouverts MySQL/3306, PostgreSQL/5432, Oracle/1521, MSSQL/1433 ou tout port client de gestion depuis Internet

  • High_Risk-Net-003 : Ouvrez les ports d'application HTTP/80, HTTPS/8443 et HTTPS/443 directement sur toutes les ressources informatiques. Par exemple, EC2 des instances, ECS/EKS/Fargate des conteneurs, etc. provenant d'Internet

  • High_Risk-Net-004 : Toute modification apportée aux groupes de sécurité contrôlant l'accès à l'infrastructure AMS

  • High_Risk-Net-006 : peering VPC avec le compte tiers (non détenu par le client)

  • High_Risk-Net-007 : Ajout d'un pare-feu client comme point de sortie pour tout le trafic AMS

  • High_Risk-Net-008 : La connexion Transit Gateway au compte tiers n'est pas autorisée

  • High_Risk-S3-001 : Fournir ou activer l'accès public dans le compartiment S3

Journalisation

  • High_Risk-Log-001 : Désactiver. CloudTrail

  • High_Risk-Log-002 : Désactive les journaux de flux VPC.

  • High_Risk-log-003 : transfert du journal via n'importe quelle méthode (notification d'événement S3, extraction de l'agent SIEM, push de l'agent SIEM, etc.) d'un compte géré par AMS vers un compte tiers (non détenu par le client)

  • High_Risk-Log-004 : Utiliser une trace autre qu'AMS pour CloudTrail

Miscellaneous

  • High_Risk-enc-001 : Désactive le chiffrement dans n'importe quelle ressource s'il est activé