Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Exemple d'équipe chargée de l'application : création d'une AWS Config règle Voici quelques contrôles issus de la norme de sécurité Security Hub CSPM [Foundational Security Best Practices (FSBP)](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) dont l'application ou l'équipe de développement peut être responsable : + [[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudfront-controls.html#cloudfront-1) + [[EC2.19] Les groupes de sécurité ne doivent pas autoriser un accès illimité aux ports présentant un risque élevé](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-19) + [[CodeBuild.1] CodeBuild GitHub ou le référentiel source Bitbucket URLs doit utiliser OAuth](https://docs.aws.amazon.com/securityhub/latest/userguide/codebuild-controls.html#codebuild-1) + [[ECS.4] Les conteneurs ECS doivent fonctionner comme des conteneurs non privilégiés](https://docs.aws.amazon.com/securityhub/latest/userguide/ecs-controls.html#ecs-4) + [[ELB.1] Application Load Balancer doit être configuré pour rediriger toutes les requêtes HTTP vers HTTPS](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-1) Dans cet exemple, l'équipe chargée de l'application traite d'une constatation concernant le contrôle FSBP EC2.19. Ce contrôle vérifie si le trafic entrant non restreint pour les groupes de sécurité est accessible aux ports spécifiés présentant le risque le plus élevé. Ce contrôle échoue si l'une des règles d'un groupe de sécurité autorise le trafic entrant `::/0` depuis `0.0.0.0/0` ou vers ces ports. La [documentation](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-19) de ce contrôle recommande de supprimer les règles qui autorisent ce trafic. Outre la prise en compte de la règle du groupe de sécurité individuel, il s'agit d'un excellent exemple de découverte qui devrait aboutir à une nouvelle AWS Config [règle](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html). En utilisant le [mode d'évaluation proactive](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config-rules.html#aws-config-rules-evaluation-modes), vous pouvez contribuer à empêcher le déploiement de règles de groupe de sécurité risquées à l'avenir. Le mode proactif évalue les ressources avant leur déploiement afin d'éviter les erreurs de configuration des ressources et les problèmes de sécurité associés. Lors de la mise en œuvre d'un nouveau service ou d'une nouvelle fonctionnalité, les équipes chargées des applications peuvent appliquer des règles en mode proactif dans le cadre de leur pipeline d'intégration et de livraison continues (CI/CD) afin d'identifier les ressources non conformes. L'image suivante montre comment utiliser une AWS Config règle proactive pour confirmer que l'infrastructure définie dans un AWS CloudFormation modèle est conforme. ![\[Une AWS Config règle proactive vérifiant la conformité d'un AWS CloudFormation modèle\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/vulnerability-management/images/cloudformation-config-proactive-workflow.png) Cet exemple permet d'obtenir une autre efficacité importante. Lorsqu'une équipe d'application crée une AWS Config règle proactive, elle peut la partager dans un référentiel de code commun afin que d'autres équipes d'application puissent l'utiliser. Chaque résultat associé à un contrôle Security Hub CSPM contient des informations détaillées sur le résultat et un lien vers les instructions permettant de résoudre le problème. Bien que les équipes cloud puissent être confrontées à des problèmes nécessitant une correction manuelle ponctuelle, nous recommandons, le cas échéant, de mettre en place des contrôles proactifs permettant d'identifier les problèmes le plus tôt possible dans le processus de développement.