Changements qui introduisent des risques de sécurité élevés ou très élevés dans votre environnement - Guide de l'utilisateur avancé d'AMS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Changements qui introduisent des risques de sécurité élevés ou très élevés dans votre environnement

Les modifications suivantes présentent un risque de sécurité élevé ou très élevé dans votre environnement :

Gestion des identités et des accès AWS

  • High_Risk-IAM-001 : Création de clés d'accès pour le compte root

  • High_Risk-IAM-002 : Modification de la politique SCP pour autoriser un accès supplémentaire

  • High_Risk-IAM-003 : modification de la politique SCP susceptible de perturber l'infrastructure AMS

  • High_Risk-IAM-004 : Création d'une infrastructure role/user avec modification des autorisations (écriture, gestion des autorisations ou balisage) dans le compte client

  • High_Risk-IAM-005 : Les rôles IAM font confiance aux politiques entre les comptes AMS et les comptes tiers (non détenus par le client)

  • High_Risk-IAM-006 : Politiques entre comptes (permettant à un compte tiers d'accéder à n'importe quelle clé KMS depuis un compte AMS)

  • High_Risk-IAM-007 : politiques inter-comptes appliquées par des comptes tiers pour accéder au compartiment S3 d'un client AMS ou à des ressources où les données peuvent être stockées (Amazon RDS, Amazon DynamoDB ou Amazon Redshift, par exemple)

  • High_Risk-IAM-008 : Attribuez les autorisations IAM à toute autorisation modifiant l'infrastructure dans le compte client

  • High_Risk-IAM-009 : Autoriser le listage et la lecture de tous les compartiments S3 du compte

  • High_Risk-IAM-010 : Provisionnement IAM automatisé avec autorisations read/write

Sécurité du réseau

  • High_Risk-Net-001 : ports de gestion du système d'exploitation ouverts SSH/22 ou SSH/2222 (pas SFTP/2222), TELNET/23, RDP/3389, WinRM/5985-5986, VNC/ 5900-5901 TS/CITRIX/1494 ou 1604, LDAP/389 ou 636 et NETBIOS/137-139 depuis Internet

  • High_RISK-NET-002 : ports de gestion de base de données ouverts MySQL/3306, PostgreSQL/5432, Oracle/1521, MSSQL/1433 ou tout port client de gestion depuis Internet

  • High_Risk-Net-003 : Ouvrez les ports d'application HTTP/80, HTTPS/8443 et HTTPS/443 directement sur toutes les ressources informatiques. Par exemple, EC2 des instances, ECS/EKS/Fargate des conteneurs, etc. provenant d'Internet

  • High_Risk-Net-004 : Toute modification apportée aux groupes de sécurité contrôlant l'accès à l'infrastructure AMS

  • High_Risk-Net-006 : peering VPC avec le compte tiers (non détenu par le client)

  • High_Risk-Net-007 : Ajout d'un pare-feu client comme point de sortie pour tout le trafic AMS

  • High_Risk-Net-008 : La connexion Transit Gateway au compte tiers n'est pas autorisée

  • High_Risk-S3-001 : Fournir ou activer l'accès public dans le compartiment S3

Journalisation

  • High_Risk-Log-001 : Désactiver. CloudTrail (L'approbation du responsable du site Ops est requise)

  • High_Risk-Log-002 : Désactive les journaux de flux VPC. (L'approbation du responsable du site Ops est requise)

  • High_Risk-log-003 : transfert du journal par n'importe quelle méthode (notification d'événement S3, extraction de l'agent SIEM, push de l'agent SIEM, etc.) d'un compte géré par AMS vers un compte tiers (non détenu par le client)

  • High_Risk-Log-004 : Utiliser une trace non-AMS pour CloudTrail

Sécurité de l'hôte

  • High_Risk-Host-001 : Désactivez la sécurité des points de terminaison dans le compte pour quelque raison que ce soit. (L'approbation du responsable du site Ops est requise)

  • High_Risk-Host-002 : Désactive l'application de correctifs dans une ressource ou au niveau du compte.

  • High_Risk-Host-003 : Déploiement d'une instance non EC2 gérée dans le compte.

  • High_Risk-Host-004 : Exécution d'un script personnalisé fourni par le client.

  • High_Risk-Host-005 : Création de comptes d'administrateur local sur les instances.

  • High_Risk-Host-006 : Exclusions d'analyse des types de fichiers/extensions de Trend Micro EPS ou désactivation de la protection contre les programmes malveillants sur les terminaux.

    Note

    L'acceptation des risques n'est pas requise pour les exclusions ou les règles de GuardDuty suppression des programmes malveillants EPS liées aux tests d'intrusion ou aux analyses de vulnérabilité ou pour les problèmes de events/known performance ayant un impact sur le service justifiant des actions proactives. Une notification des risques est suffisante dans ces situations.

  • High_Risk-Host-007 : Créer pour KeyPair EC2

  • High_Risk-Host-008 : Désactiver la sécurité des points de terminaison dans EC2

  • High_Risk-Host-009 : Comptes utilisant le système d'exploitation de fin de vie (EOL)

Miscellaneous

  • High_Risk-enc-001 : Désactive le chiffrement dans n'importe quelle ressource s'il est activé

Active Directory géré

  • High_Risk-AD-001 : Fournir des droits d'administrateur à un utilisateur ou à un groupe directeur actif

  • High_RISK-AD-002 : Politiques GPO capables de réduire le niveau de sécurité du compte