Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Journal des modifications pour les contrôles CSPM de Security Hub
Le journal des modifications suivant suit les modifications importantes apportées aux contrôles de AWS sécurité CSPM existants du Security Hub, qui peuvent entraîner des modifications de l'état général d'un contrôle et de l'état de conformité de ses conclusions. Pour plus d'informations sur la manière dont Security Hub CSPM évalue l'état des contrôles, consultez. Évaluation de l'état de conformité et de l'état du contrôle Les modifications peuvent prendre quelques jours après leur entrée dans ce journal pour affecter toutes les Régions AWS entités dans lesquelles le contrôle est disponible.
Ce journal suit les changements survenus depuis avril 2023. Choisissez un contrôle pour consulter des informations supplémentaires le concernant. Les modifications de titre sont indiquées dans la description détaillée d'un contrôle pendant 90 jours.
| Date de modification | ID et titre du contrôle | Description du changement |
|---|---|---|
| 13 août 2025 | [SageMaker.5] l'isolation du réseau doit être activée sur les SageMaker modèles | Security Hub CSPM a modifié le titre et la description de ce contrôle. Le nouveau titre et la nouvelle description reflètent plus précisément le fait que le contrôle vérifie le réglage du |
| 13 août 2025 | [EFS.6] Les cibles de montage EFS ne doivent pas être associées à des sous-réseaux qui attribuent des adresses IP publiques au lancement | Security Hub CSPM a modifié le titre et la description de ce contrôle. Le nouveau titre et la nouvelle description reflètent plus précisément l'étendue et la nature de la vérification effectuée par le contrôle. Auparavant, le titre de ce contrôle était : EFS mount targets should not be associated with a public subnet. |
| 24 juillet 2025 | [EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge | Ce contrôle vérifie si un cluster Amazon EKS s'exécute sur une version de Kubernetes prise en charge. Security Hub CSPM a modifié la valeur du paramètre de ce contrôle de à |
| 23 juillet 2025 | [EC2.173] Les demandes EC2 Spot Fleet avec paramètres de lancement devraient permettre le chiffrement des volumes EBS attachés | Security Hub CSPM a modifié le titre de ce contrôle. Le nouveau titre reflète plus précisément le fait que le contrôle ne vérifie que les demandes Amazon EC2 Spot Fleet qui spécifient les paramètres de lancement. Auparavant, le titre de ce contrôle était : EC2 Spot Fleet requests should enable encryption for attached EBS volumes. |
| 30 juin 2025 | [IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole | Security Hub CSPM a supprimé ce contrôle de la norme PCI DSS v4.0.1. La norme PCI DSS v4.0.1 n'exige pas explicitement l'utilisation de symboles dans les mots de passe. |
| 30 juin 2025 | [IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins | Security Hub CSPM a supprimé ce contrôle de la norme NIST SP 800-171 Revision 2. Le SP 800-171 révision 2 du NIST n'exige pas explicitement des délais d'expiration de 90 jours ou moins pour les mots de passe. |
| 30 juin 2025 | [RDS.16] Les clusters de base de données Aurora doivent être configurés pour copier des balises dans des instantanés de base de données | Security Hub CSPM a modifié le titre de ce contrôle. Le nouveau titre reflète plus précisément le fait que le contrôle ne vérifie que les clusters de base de données Amazon Aurora. Auparavant, le titre de ce contrôle était : RDS DB clusters should be configured to copy tags to snapshots. |
| 30 juin 2025 | [SageMaker.8] les instances de SageMaker bloc-notes doivent s'exécuter sur les plateformes prises en charge | Ce contrôle vérifie si une instance de bloc-notes Amazon SageMaker AI est configurée pour s'exécuter sur une plate-forme prise en charge, en fonction de l'identifiant de plate-forme spécifié pour l'instance de bloc-notes. Security Hub CSPM ne prend plus en charge |
| 30 mai 2025 | [IAM.10] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte | Security Hub CSPM a supprimé ce contrôle de la norme PCI DSS v4.0.1. Ce contrôle vérifie si les politiques de mot de passe des comptes pour les utilisateurs IAM répondent aux exigences minimales, notamment une longueur de mot de passe minimale de 7 caractères. La norme PCI DSS v4.0.1 exige désormais que les mots de passe comportent au moins 8 caractères. Le contrôle continue de s'appliquer à la norme PCI DSS v3.2.1, qui impose des exigences de mot de passe différentes. Pour évaluer les politiques de mot de passe du compte par rapport aux exigences de la norme PCI DSS v4.0.1, vous pouvez utiliser le contrôle IAM.7. Ce contrôle nécessite que les mots de passe comportent au moins 8 caractères. Il prend également en charge les valeurs personnalisées pour la longueur du mot de passe et d'autres paramètres. Le contrôle IAM.7 fait partie de la norme PCI DSS v4.0.1 du Security Hub CSPM. |
| 8 mai 2025 | [RDS.46] Les instances de base de données RDS ne doivent pas être déployées dans des sous-réseaux publics avec des routes vers des passerelles Internet | Security Hub CSPM a annulé la publication du contrôle RDS.46 dans son ensemble. Régions AWS Auparavant, ce contrôle était conforme à la norme AWS Foundational Security Best Practices (FSBP). |
| 7 avril 2025 | [ELB.17] Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées | Ce contrôle vérifie si l'écouteur HTTPS d'un Application Load Balancer ou l'écouteur TLS d'un Network Load Balancer est configuré pour chiffrer les données en transit en utilisant une politique de sécurité recommandée. Security Hub CSPM prend désormais en charge deux valeurs de paramètres supplémentaires pour ce contrôle : |
| 27 mars 2025 | [Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge | Ce contrôle vérifie si les paramètres d'exécution d'une AWS Lambda
fonction correspondent aux valeurs attendues pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM prend désormais en charge ce |
| 26 mars 2025 | [EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge | Ce contrôle vérifie si un cluster Amazon Elastic Kubernetes Service (Amazon EKS) s'exécute sur une version de Kubernetes prise en charge. Pour le |
| 10 mars 2025 | [Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge | Ce contrôle vérifie si les paramètres d'exécution d'une AWS Lambda
fonction correspondent aux valeurs attendues pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM ne prend plus en charge |
| 07 mars 2025 | [RDS.18] Les instances RDS doivent être déployées dans un VPC | Security Hub CSPM a supprimé ce contrôle de la norme AWS Foundational Security Best Practices et a automatisé les vérifications pour répondre aux exigences du NIST SP 800-53 Rev. 5. Depuis le retrait du réseau Amazon EC2 -Classic, les instances Amazon Relational Database Service (Amazon RDS) ne peuvent plus être déployées en dehors d'un VPC. Le contrôle continue de faire partie de la norme de AWS Control Tower gestion des services. |
| 10 janvier 2025 | [Glue.2] La journalisation des tâches AWS Glue doit être activée | Security Hub CSPM a retiré ce contrôle et l'a retiré de toutes les normes. |
| 20 décembre 2024 | EC26.1 à 1.69 EC2 | Security Hub CSPM a annulé la publication des contrôles EC2 6.1 à 1.69. EC2 |
| 12 décembre 2024 | [RDS.23] Les instances RDS ne doivent pas utiliser le port par défaut d'un moteur de base de données | RDS.23 vérifie si un cluster ou une instance Amazon Relational Database Service (Amazon RDS) utilise un port autre que le port par défaut du moteur de base de données. Nous avons mis à jour le contrôle afin que la AWS Config règle sous-jacente renvoie un résultat NOT_APPLICABLE pour les instances RDS faisant partie d'un cluster. |
| 2 décembre 2024 | [Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge | Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM est désormais pris en charge en nodejs22.x tant que paramètre. |
| 26 novembre 2024 | [EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge | Ce contrôle vérifie si un cluster Amazon Elastic Kubernetes Service (Amazon EKS) s'exécute sur une version de Kubernetes prise en charge. La plus ancienne version prise en charge est désormais disponible1.29. |
| 20 novembre 2024 | [Config.1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources | Config.1 vérifie s'il AWS Config est activé, utilise le rôle lié au service et enregistre les ressources pour les contrôles activés. Security Hub CSPM a augmenté la sévérité de ce contrôle de à Pour recevoir un |
| 12 novembre 2024 | [Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge | Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM est désormais pris en charge en python3.13 tant que paramètre. |
| 11 octobre 2024 | ElastiCache commandes | Les titres de contrôle ont été modifiés pour ElastiCache 3.3, ElastiCache .4, ElastiCache .5 et ElastiCache .7. Les titres ne mentionnent plus Redis OSS car les contrôles s'appliquent également ElastiCache à Valkey. |
| 27 septembre 2024 | [ELB.4] Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP non valides | Le titre de contrôle modifié depuis Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP vers Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP non valides. |
| 19 août 2024 | Changements de titre apportés au DMS.12 et aux commandes ElastiCache | Titres de contrôle modifiés pour DMS.12 et ElastiCache 2.1 à ElastiCache 1.7. Nous avons modifié ces titres pour refléter le changement de nom du service Amazon ElastiCache (Redis OSS). |
| 15 août 2024 | [Config.1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources | Config.1 vérifie s'il AWS Config est activé, utilise le rôle lié au service et enregistre les ressources pour les contrôles activés. Security Hub CSPM a ajouté un paramètre de contrôle personnalisé nommé. includeConfigServiceLinkedRoleCheck En définissant ce paramètre surfalse, vous pouvez choisir de ne pas vérifier si le rôle lié au service est AWS Config utilisé. |
| 31 juillet 2024 | [IoT.1] les profils AWS IoT Device Defender de sécurité doivent être balisés | Le titre de contrôle modifié des profils de AWS IoT Core sécurité doit être étiqueté en tant que profil de AWS IoT Device Defender sécurité. |
| 29 juillet 2024 | [Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge | Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM n'est plus pris en charge en nodejs16.x tant que paramètre. |
| 29 juillet 2024 | [EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge | Ce contrôle vérifie si un cluster Amazon Elastic Kubernetes Service (Amazon EKS) s'exécute sur une version de Kubernetes prise en charge. La plus ancienne version prise en charge est1.28. |
| 25 juin 2024 | [Config.1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources | Ce contrôle vérifie s'il AWS Config est activé, utilise le rôle lié au service et enregistre les ressources pour les contrôles activés. Security Hub CSPM a mis à jour le titre du contrôle pour refléter ce que le contrôle évalue. |
| 14 juin 2024 | [RDS.34] Les clusters de base de données Aurora MySQL doivent publier les journaux d'audit dans Logs CloudWatch | Ce contrôle vérifie si un cluster de base de données Amazon Aurora MySQL est configuré pour publier des journaux d'audit sur Amazon CloudWatch Logs. Security Hub CSPM a mis à jour le contrôle afin qu'il ne génère pas de résultats pour les clusters de base de données Aurora Serverless v1. |
| 11 juin 2024 | [EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge | Ce contrôle vérifie si un cluster Amazon Elastic Kubernetes Service (Amazon EKS) s'exécute sur une version de Kubernetes prise en charge. La plus ancienne version prise en charge est1.27. |
| 10 juin 2024 | [Config.1] AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources | Cette commande vérifie si elle AWS Config est activée et si l'enregistrement AWS Config des ressources est activé. Auparavant, le contrôle produisait un PASSED résultat uniquement si vous configuriez l'enregistrement pour toutes les ressources. Security Hub CSPM a mis à jour le contrôle pour produire un PASSED résultat lorsque l'enregistrement est activé pour les ressources requises pour les contrôles activés. Le contrôle a également été mis à jour pour vérifier si le rôle AWS Config lié au service est utilisé, ce qui donne les autorisations nécessaires pour enregistrer les ressources nécessaires. |
| 8 mai 2024 | [S3.20] La suppression MFA des compartiments S3 à usage général doit être activée | Ce contrôle vérifie si la suppression par authentification multifactorielle (MFA) est activée pour un compartiment Amazon S3 à usage général. Auparavant, le contrôle produisait un FAILED résultat pour les buckets dotés d'une configuration Lifecycle. Cependant, la suppression MFA avec gestion des versions ne peut pas être activée sur un bucket doté d'une configuration Lifecycle. Security Hub CSPM a mis à jour le contrôle afin de ne produire aucun résultat pour les buckets dotés d'une configuration Lifecycle. La description du contrôle a été mise à jour pour refléter le comportement actuel. |
| 2 mai 2024 | [EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge | Security Hub CSPM a mis à jour la plus ancienne version prise en charge de Kubernetes sur laquelle le cluster Amazon EKS peut s'exécuter afin de produire un résultat transmis. La version actuellement prise en charge la plus ancienne est Kubernetes1.26. |
| 30 avril 2024 | [CloudTrail.3] Au moins une CloudTrail piste doit être activée | Le titre du contrôle modifié CloudTrail passe de doit être activé à Au moins une CloudTrail piste doit être activée. Ce contrôle produit actuellement un PASSED résultat si au moins Compte AWS une CloudTrail piste est activée. Le titre et la description ont été modifiés pour refléter précisément le comportement actuel. |
| 29 avril 2024 | [AutoScaling.1] Les groupes Auto Scaling associés à un équilibreur de charge doivent utiliser les contrôles de santé ELB | Titre de contrôle modifié : les groupes Auto Scaling associés à un Classic Load Balancer doivent utiliser des contrôles de santé de l'équilibreur de charge alors que les groupes Auto Scaling associés à un équilibreur de charge doivent utiliser des contrôles de santé ELB. Ce contrôle évalue actuellement les équilibreurs de charge d'application, de passerelle, de réseau et classiques. Le titre et la description ont été modifiés pour refléter précisément le comportement actuel. |
| 19 avril 2024 | [CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture | Le contrôle vérifie s'il AWS CloudTrail est activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture. Auparavant, le contrôle générait des PASSED résultats de manière incorrecte lorsqu'un compte avait CloudTrail activé et configuré au moins un suivi multirégional, même si aucun journal ne capturait les événements de gestion de lecture et d'écriture. Le contrôle génère désormais un PASSED résultat uniquement lorsqu'il CloudTrail est activé et configuré avec au moins un journal multirégional qui capture les événements de gestion de lecture et d'écriture. |
| 10 avril 2024 | [Athena.1] Les groupes de travail Athena doivent être chiffrés au repos | Security Hub CSPM a retiré ce contrôle et l'a retiré de toutes les normes. Les groupes de travail Athena envoient des journaux vers des compartiments Amazon Simple Storage Service (Amazon S3). Amazon S3 fournit désormais un chiffrement par défaut avec des clés gérées S3 (SS3-S3) sur les compartiments S3 nouveaux et existants. |
| 10 avril 2024 | [AutoScaling.4] La configuration de lancement du groupe Auto Scaling ne doit pas comporter de limite de sauts de réponse aux métadonnées supérieure à 1 | Security Hub CSPM a retiré ce contrôle et l'a retiré de toutes les normes. Les limites des sauts de réponse aux métadonnées pour les instances Amazon Elastic Compute Cloud (Amazon EC2) dépendent de la charge de travail. |
| 10 avril 2024 | [CloudFormation.1] les CloudFormation piles doivent être intégrées au Simple Notification Service (SNS) | Security Hub CSPM a retiré ce contrôle et l'a retiré de toutes les normes. L'intégration de AWS CloudFormation stacks aux rubriques Amazon SNS n'est plus une bonne pratique en matière de sécurité. Bien qu'il puisse être utile d'intégrer des CloudFormation piles importantes à des rubriques SNS, elle n'est pas obligatoire pour toutes les piles. |
| 10 avril 2024 | [CodeBuild.5] le mode privilégié ne doit pas être activé dans les environnements de CodeBuild projet | Security Hub CSPM a retiré ce contrôle et l'a retiré de toutes les normes. L'activation du mode privilégié dans un CodeBuild projet n'impose aucun risque supplémentaire à l'environnement du client. |
| 10 avril 2024 | [IAM.20] Évitez d'utiliser l'utilisateur root | Security Hub CSPM a retiré ce contrôle et l'a retiré de toutes les normes. Le but de ce contrôle est couvert par un autre contrôle,[CloudWatch.1] Un filtre logarithmique et une alarme doivent exister pour l'utilisation de l'utilisateur « root ». |
| 10 avril 2024 | [SNS.2] L'enregistrement de l'état de livraison doit être activé pour les messages de notification envoyés à un sujet | Security Hub CSPM a retiré ce contrôle et l'a retiré de toutes les normes. L'enregistrement de l'état de livraison pour les rubriques SNS n'est plus une bonne pratique en matière de sécurité. Bien qu'il puisse être utile de consigner le statut de livraison pour les sujets SNS importants, il n'est pas obligatoire pour tous les sujets. |
| 10 avril 2024 | [S3.10] Les compartiments S3 à usage général avec la gestion des versions activée doivent avoir des configurations de cycle de vie | Security Hub CSPM a supprimé ce contrôle des meilleures pratiques de sécurité AWS fondamentales et de la norme de gestion des services :. AWS Control Tower L'objectif de ce contrôle est couvert par deux autres contrôles : [S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie et[S3.14] La gestion des versions des compartiments S3 à usage général devrait être activée. Ce contrôle fait toujours partie du NIST SP 800-53 Rev. 5. |
| 10 avril 2024 | [S3.11] Les notifications d'événements devraient être activées dans les compartiments S3 à usage général | Security Hub CSPM a supprimé ce contrôle des meilleures pratiques de sécurité AWS fondamentales et de la norme de gestion des services :. AWS Control Tower Bien que les notifications d'événements pour les compartiments S3 soient utiles dans certains cas, il ne s'agit pas d'une bonne pratique universelle en matière de sécurité. Ce contrôle fait toujours partie du NIST SP 800-53 Rev. 5. |
| 10 avril 2024 | [SNS.1] Les sujets SNS doivent être chiffrés au repos à l'aide de AWS KMS | Security Hub CSPM a supprimé ce contrôle des meilleures pratiques de sécurité AWS fondamentales et de la norme de gestion des services :. AWS Control Tower Par défaut, SNS chiffre les sujets inactifs à l'aide du chiffrement du disque. Pour en savoir plus, consultez Chiffrement des données. L'utilisation AWS KMS pour chiffrer des sujets n'est plus recommandée en tant que bonne pratique de sécurité. Ce contrôle fait toujours partie du NIST SP 800-53 Rev. 5. |
| 8 avril 2024 | [ELB.6] La protection contre les suppressions doit être activée sur les équilibreurs de charge des applications, des passerelles et du réseau | Le titre de contrôle modifié de la protection contre la suppression d'Application Load Balancer doit être activé vers Application, Gateway et Network Load Balancers doit avoir la protection contre la suppression activée. Ce contrôle évalue actuellement les équilibreurs de charge d'application, de passerelle et de réseau. Le titre et la description ont été modifiés pour refléter précisément le comportement actuel. |
| 22 mars 2024 | [Opensearch.8] Les connexions aux OpenSearch domaines doivent être cryptées en utilisant la dernière politique de sécurité TLS | Le titre de contrôle modifié passe de Les connexions aux OpenSearch domaines doivent être chiffrées à l'aide du protocole TLS 1.2 à Les connexions aux OpenSearch domaines doivent être chiffrées à l'aide de la dernière politique de sécurité TLS. Auparavant, le contrôle vérifiait uniquement si les connexions aux OpenSearch domaines utilisaient le protocole TLS 1.2. Le contrôle permet désormais de déterminer si PASSED les OpenSearch domaines sont chiffrés à l'aide de la dernière politique de sécurité TLS. Le titre et la description du contrôle ont été mis à jour pour refléter le comportement actuel. |
| 22 mars 2024 | [ES.8] Les connexions aux domaines Elasticsearch doivent être chiffrées conformément à la dernière politique de sécurité TLS | Le titre de contrôle modifié de Connexions aux domaines Elasticsearch doit être crypté à l'aide du protocole TLS 1.2 à celui des connexions aux domaines Elasticsearch doit être crypté à l'aide de la dernière politique de sécurité TLS. Auparavant, le contrôle vérifiait uniquement si les connexions aux domaines Elasticsearch utilisaient le protocole TLS 1.2. Le contrôle permet désormais de déterminer si les domaines Elasticsearch sont chiffrés à l'aide de la dernière politique de sécurité TLS. PASSED Le titre et la description du contrôle ont été mis à jour pour refléter le comportement actuel. |
| 12 mars 2024 | [S3.1] Les paramètres de blocage de l'accès public aux compartiments S3 à usage général devraient être activés | Le titre modifié du paramètre S3 Block Public Access doit être activé pour les compartiments S3 à usage général devrait avoir les paramètres de blocage de l'accès public activés. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [S3.2] Les compartiments à usage général S3 devraient bloquer l'accès public à la lecture | La modification du titre des compartiments S3 devrait interdire l'accès public en lecture. Les compartiments S3 à usage général devraient bloquer l'accès public en lecture. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [S3.3] Les compartiments à usage général S3 devraient bloquer l'accès public en écriture | La modification du titre des compartiments S3 devrait interdire l'accès public en écriture. Les compartiments S3 à usage général devraient bloquer l'accès en écriture public. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation du protocole SSL | Le titre modifié des compartiments S3 devrait nécessiter des demandes d'utilisation de Secure Socket Layer. Les compartiments S3 à usage général devraient nécessiter des demandes d'utilisation du protocole SSL. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [S3.6] Les politiques générales relatives aux compartiments S3 devraient restreindre l'accès à d'autres Comptes AWS | Le titre modifié par rapport aux autorisations S3 accordées Comptes AWS à d'autres politiques intégrées au compartiment doit être limité aux politiques de compartiment à usage général de S3 qui doivent restreindre l'accès aux autres Comptes AWS. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions | Le titre modifié des compartiments S3 doit indiquer que la réplication entre régions est activée, tandis que les compartiments S3 à usage général doivent utiliser la réplication entre régions. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions | Le titre modifié des compartiments S3 doit indiquer que la réplication entre régions est activée, tandis que les compartiments S3 à usage général doivent utiliser la réplication entre régions. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [S3.8] Les compartiments à usage général S3 devraient bloquer l'accès public | Le titre modifié du paramètre S3 Block Public Access doit être activé au niveau du bucket à celui des buckets à usage général S3 doit bloquer l'accès public. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [S3.9] La journalisation des accès au serveur doit être activée dans les compartiments S3 à usage général | Le titre modifié de la journalisation de l'accès au serveur du compartiment S3 doit être activé à la journalisation de l'accès au serveur doit être activée pour les compartiments à usage général S3. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [S3.10] Les compartiments S3 à usage général avec la gestion des versions activée doivent avoir des configurations de cycle de vie | Le titre modifié des compartiments S3 avec le versionnement activé doit avoir des politiques de cycle de vie configurées, tandis que les compartiments S3 à usage général avec le versionnement activé doivent avoir des configurations de cycle de vie. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [S3.11] Les notifications d'événements devraient être activées dans les compartiments S3 à usage général | Le titre modifié des compartiments S3 devrait avoir les notifications d'événements activées alors que les compartiments S3 à usage général devraient avoir les notifications d'événements activées. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [S3.12] ne ACLs doit pas être utilisé pour gérer l'accès des utilisateurs aux compartiments S3 à usage général | Le titre modifié des listes de contrôle d'accès S3 (ACLs) ne doit pas être utilisé pour gérer l'accès des utilisateurs aux ACLs compartiments ni pour gérer l'accès des utilisateurs aux compartiments à usage général S3. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [S3.13] Les compartiments à usage général S3 doivent avoir des configurations de cycle de vie | Le titre modifié des compartiments S3 doit avoir des politiques de cycle de vie configurées alors que les compartiments S3 à usage général doivent avoir des configurations de cycle de vie. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [S3.14] La gestion des versions des compartiments S3 à usage général devrait être activée | Le titre modifié des compartiments S3 doit utiliser la gestion des versions alors que les compartiments S3 à usage général doivent avoir la fonction de version activée. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [S3.15] Object Lock doit être activé dans les compartiments S3 à usage général | Le titre modifié des compartiments S3 doit être configuré pour utiliser le verrouillage des objets. Les compartiments S3 à usage général doivent avoir le verrouillage des objets activé. Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 12 mars 2024 | [S3.17] Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys | Le titre modifié des compartiments S3 doit être chiffré au repos par des compartiments S3 AWS KMS keysà usage général avec lesquels les compartiments S3 doivent être chiffrés au repos. AWS KMS keys Security Hub CSPM a modifié le titre pour tenir compte d'un nouveau type de compartiment S3. |
| 07 mars 2024 | [Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge | Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM prend désormais en charge nodejs20.x et en ruby3.3 tant que paramètres. |
| 22 février 2024 | [Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge | Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM est désormais pris en charge en dotnet8 tant que paramètre. |
| 5 février 2024 | [EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge | Security Hub CSPM a mis à jour la plus ancienne version prise en charge de Kubernetes sur laquelle le cluster Amazon EKS peut s'exécuter afin de produire un résultat transmis. La version actuellement prise en charge la plus ancienne est Kubernetes1.25. |
| 10 janvier 2024 | [CodeBuild.1] Le référentiel source de CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles | Le titre modifié par rapport au référentiel source Bitbucket CodeBuild GitHub ou OAuth à utiliser pour le référentiel URLs source CodeBuild Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles. Security Hub CSPM a supprimé la mention OAuth car d'autres méthodes de connexion peuvent également être sécurisées. Security Hub CSPM a supprimé la mention GitHub car il n'est plus possible d'avoir un jeton d'accès personnel ou un nom d'utilisateur et un mot de passe dans le référentiel GitHub source. URLs |
| 8 janvier 2024 | [Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge | Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM ne prend plus en charge go1.x et en java8 tant que paramètres car il s'agit d'environnements d'exécution retirés. |
| 29 décembre 2023 | [RDS.8] La protection contre la suppression des instances de base de données RDS doit être activée | RDS.8 vérifie si la protection contre la suppression est activée sur une instance de base de données Amazon RDS qui utilise l'un des moteurs de base de données pris en charge. Security Hub CSPM prend désormais en charge custom-oracle-eeoracle-ee-cdb, et en oracle-se2-cdb tant que moteurs de base de données. |
| 22 décembre 2023 | [Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge | Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM prend désormais en charge java21 et en python3.12 tant que paramètres. Security Hub CSPM n'est plus pris en charge en ruby2.7 tant que paramètre. |
| 15 décembre 2023 | [CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré | CloudFront.1 vérifie si un objet racine par défaut est configuré pour une CloudFront distribution Amazon. Security Hub CSPM a réduit le niveau de sévérité de ce contrôle de CRITIQUE à ÉLEVÉ, car l'ajout de l'objet racine par défaut est une recommandation qui dépend de l'application de l'utilisateur et des exigences spécifiques. |
| 5 décembre 2023 | [EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22 | Le titre du contrôle a été modifié : les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 vers les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22. |
| 5 décembre 2023 | [EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389 | Le titre du contrôle est passé de « Assurez-vous qu'aucun groupe de sécurité n'autorise l'entrée depuis 0.0.0.0/0 vers le port 3389 » à « Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389 ». |
| 5 décembre 2023 | [RDS.9] Les instances de base de données RDS doivent publier les journaux dans Logs CloudWatch | Le titre de contrôle modifié de la journalisation de la base de données doit être activé pour que les instances de base de données RDS publient les journaux dans les CloudWatch journaux. Security Hub CSPM a identifié que ce contrôle vérifie uniquement si les journaux sont publiés sur Amazon CloudWatch Logs et ne vérifie pas si les journaux RDS sont activés. Le contrôle permet de déterminer si PASSED les instances de base de données RDS sont configurées pour publier des journaux dans CloudWatch Logs. Le titre du contrôle a été mis à jour pour refléter le comportement actuel. |
| 5 décembre 2023 | [EKS.8] La journalisation des audits doit être activée sur les clusters EKS | Ce contrôle vérifie si la journalisation des audits est activée sur les clusters Amazon EKS. La AWS Config règle utilisée par Security Hub CSPM pour évaluer ce contrôle est passée de àeks-cluster-logging-enabled. eks-cluster-log-enabled |
| 17 novembre 2023 | [EC2.19] Les groupes de sécurité ne doivent pas autoriser un accès illimité aux ports présentant un risque élevé | EC2.19 vérifie si le trafic entrant non restreint d'un groupe de sécurité est accessible aux ports spécifiés considérés comme présentant un risque élevé. Security Hub CSPM a mis à jour ce contrôle pour prendre en compte les listes de préfixes gérées lorsqu'elles sont fournies comme source pour une règle de groupe de sécurité. Le contrôle produit un FAILED résultat si les listes de préfixes contiennent les chaînes « 0.0.0.0/0 » ou « : :/0». |
| 16 novembre 2023 | [CloudWatch.15] les CloudWatch alarmes doivent avoir des actions spécifiées configurées | Le titre de contrôle modifié, passant d'CloudWatch une alarme à une action configurée pour l'état ALARM, doit être CloudWatch remplacée par une action spécifiée configurée pour les alarmes. |
| 16 novembre 2023 | [CloudWatch.16] les groupes de CloudWatch journaux doivent être conservés pendant une période spécifiée | Le titre de contrôle modifié des groupes de CloudWatch journaux doit être conservé pendant au moins un an alors que les groupes de CloudWatch journaux doivent être conservés pendant une période spécifiée. |
| 16 novembre 2023 | [Lambda.5] Les fonctions Lambda VPC doivent fonctionner dans plusieurs zones de disponibilité | Titre de contrôle modifié, les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité et les fonctions Lambda VPC doivent fonctionner dans plusieurs zones de disponibilité. |
| 16 novembre 2023 | [AppSync.2] AWS AppSync devrait avoir activé la journalisation au niveau du champ | Le titre du contrôle modifié AWS AppSync doit avoir activé la journalisation au niveau de la demande et au niveau du champ pour activer la journalisation auAWS AppSync niveau du champ. |
| 16 novembre 2023 | [EMR.1] Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques | Titre de contrôle modifié : les nœuds principaux du MapReduce cluster Amazon Elastic ne doivent pas avoir d'adresse IP publique. Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresse IP publique. |
| 16 novembre 2023 | Les OpenSearch domaines [Opensearch.2] ne doivent pas être accessibles au public | Le titre de contrôle modifié, OpenSearch les domaines doivent se trouver dans un VPC et les OpenSearchdomaines ne doivent pas être accessibles au public. |
| 16 novembre 2023 | [ES.2] Les domaines Elasticsearch ne doivent pas être accessibles au public | Le titre de contrôle modifié, les domaines Elasticsearch doivent figurer dans un VPC et les domaines Elasticsearch ne doivent pas être accessibles au public. |
| 31 octobre 2023 | [ES.4] La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée | ES.4 vérifie si les domaines Elasticsearch sont configurés pour envoyer des journaux d'erreurs à Amazon Logs. CloudWatch Le contrôle a précédemment produit une PASSED recherche pour un domaine Elasticsearch dont tous les journaux étaient configurés pour être envoyés à CloudWatch Logs. Security Hub CSPM a mis à jour le contrôle afin de générer une PASSED recherche uniquement pour un domaine Elasticsearch configuré pour envoyer des journaux d'erreurs à Logs. CloudWatch Le contrôle a également été mis à jour pour exclure de l'évaluation les versions d'Elasticsearch qui ne prennent pas en charge les journaux d'erreurs. |
| 16 octobre 2023 | [EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22 | EC2.13 vérifie si les groupes de sécurité autorisent un accès d'entrée illimité au port 22. Security Hub CSPM a mis à jour ce contrôle pour prendre en compte les listes de préfixes gérées lorsqu'elles sont fournies comme source pour une règle de groupe de sécurité. Le contrôle produit un FAILED résultat si les listes de préfixes contiennent les chaînes « 0.0.0.0/0 » ou « : :/0». |
| 16 octobre 2023 | [EC2.14] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389 | EC2.14 vérifie si les groupes de sécurité autorisent un accès d'entrée illimité au port 3389. Security Hub CSPM a mis à jour ce contrôle pour prendre en compte les listes de préfixes gérées lorsqu'elles sont fournies comme source pour une règle de groupe de sécurité. Le contrôle produit un FAILED résultat si les listes de préfixes contiennent les chaînes « 0.0.0.0/0 » ou « : :/0». |
| 16 octobre 2023 | [EC2.18] Les groupes de sécurité ne doivent autoriser le trafic entrant illimité que pour les ports autorisés | EC2.18 vérifie si les groupes de sécurité utilisés autorisent le trafic entrant sans restriction. Security Hub CSPM a mis à jour ce contrôle pour prendre en compte les listes de préfixes gérées lorsqu'elles sont fournies comme source pour une règle de groupe de sécurité. Le contrôle produit un FAILED résultat si les listes de préfixes contiennent les chaînes « 0.0.0.0/0 » ou « : :/0». |
| 16 octobre 2023 | [Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge | Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM est désormais pris en charge en python3.11 tant que paramètre. |
| 4 octobre 2023 | [S3.7] Les compartiments à usage général S3 doivent utiliser la réplication entre régions | Security Hub CSPM a ajouté le paramètre ReplicationType avec la valeur de CROSS-REGION pour garantir que la réplication entre régions est activée dans les compartiments S3 plutôt que la réplication entre régions. |
| 27 septembre 2023 | [EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge | Security Hub CSPM a mis à jour la plus ancienne version prise en charge de Kubernetes sur laquelle le cluster Amazon EKS peut s'exécuter afin de produire un résultat transmis. La version actuellement prise en charge la plus ancienne est Kubernetes1.24. |
| 20 septembre 2023 | [CloudFront.2] l'identité d'accès à l'origine doit être activée pour les CloudFront distributions | Security Hub CSPM a retiré ce contrôle et l'a retiré de toutes les normes. Reportez-vous plutôt à la section [CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine. Le contrôle d'accès à l'origine est la meilleure pratique de sécurité actuelle. Ce contrôle sera supprimé de la documentation dans 90 jours. |
| 20 septembre 2023 | [EC2.22] Les groupes de EC2 sécurité Amazon non utilisés doivent être supprimés | Security Hub CSPM a supprimé ce contrôle de AWS Foundational Security Best Practices (FSBP) et du National Institute of Standards and Technology (NIST) SP 800-53 Rev. 5. Il fait toujours partie de Service-Managed Standard :. AWS Control Tower Ce contrôle produit un résultat positif si des groupes de sécurité sont attachés à EC2 des instances ou à une interface elastic network. Toutefois, dans certains cas d'utilisation, les groupes de sécurité indépendants ne présentent aucun risque de sécurité. Vous pouvez utiliser d'autres EC2 contrôles, tels que EC2 .2, EC2 .13, EC2 .14, EC2 .18 et EC2 .19, pour surveiller vos groupes de sécurité. |
| 20 septembre 2023 | [EC2.29] EC2 les instances doivent être lancées dans un VPC | Security Hub CSPM a retiré ce contrôle et l'a retiré de toutes les normes. Amazon EC2 a migré les instances EC2 -Classic vers un VPC. Ce contrôle sera supprimé de la documentation dans 90 jours. |
| 20 septembre 2023 | [S3.4] Le chiffrement côté serveur doit être activé pour les compartiments S3 | Security Hub CSPM a retiré ce contrôle et l'a retiré de toutes les normes. Amazon S3 fournit désormais un chiffrement par défaut avec des clés gérées S3 (SS3-S3) sur les compartiments S3 nouveaux et existants. Les paramètres de chiffrement restent inchangés pour les compartiments existants chiffrés avec le chiffrement côté serveur SS3 -S3 ou SS3 -KMS. Ce contrôle sera supprimé de la documentation dans 90 jours. |
| 14 septembre 2023 | [EC2.2] Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant | Titre de contrôle modifié : le groupe de sécurité par défaut du VPC ne doit pas autoriser le trafic entrant et sortant est remplacé par le groupe de sécurité par défaut du VPC ne doit pas autoriser le trafic entrant ou sortant. |
| 14 septembre 2023 | [IAM.9] La MFA doit être activée pour l'utilisateur root | Le titre de contrôle modifié de Virtual MFA doit être activé pour l'utilisateur root à MFA doit être activé pour l'utilisateur root. |
|
14 septembre 2023 |
[RDS.19] Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques du cluster | Titre de contrôle modifié : un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques du cluster. Les abonnements aux notifications d'événements RDS existants doivent être configurés pour les événements critiques du cluster. |
| 14 septembre 2023 | [RDS.20] Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques relatifs aux instances de base de données | Le titre de contrôle a été modifié, passant d'un abonnement aux notifications d'événements RDS pour les événements critiques d'instance de base de données à un abonnement aux notifications d'événements RDS existant doit être configuré pour les événements critiques d'instance de base de données. |
| 14 septembre 2023 | [WAF.2] Les règles régionales AWS WAF classiques doivent comporter au moins une condition | Titre de contrôle modifié d'une règle régionale WAF doit comporter au moins une condition à une règle régionale AWS WAF classique doit comporter au moins une condition. |
| 14 septembre 2023 | [WAF.3] Les groupes de règles régionaux AWS WAF classiques doivent avoir au moins une règle | Le titre de contrôle est passé d'un groupe de règles régional WAF doit comporter au moins une règle à un groupe de règles régional AWS WAF classique qui doit avoir au moins une règle. |
| 14 septembre 2023 | [WAF.4] Le Web régional AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles | Le titre de contrôle a été modifié, passant d'un ACL Web régional WAF doit comporter au moins une règle ou un groupe de règles à un site Web régional AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles. |
| 14 septembre 2023 | [WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition | Titre de contrôle modifié, passant d'une règle globale WAF doit comporter au moins une condition à Une règle globale AWS WAF classique doit comporter au moins une condition. |
| 14 septembre 2023 | [WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle | Le titre du contrôle est passé d'un groupe de règles global WAF doit comporter au moins une règle à un groupe de règles global AWS WAF classique doit avoir au moins une règle. |
| 14 septembre 2023 | [WAF.8] Le Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles | Le titre de contrôle a été modifié, passant d'une ACL Web globale WAF doit comporter au moins une règle ou un groupe de règles à un Web global AWS WAF classique ACLs doit comporter au moins une règle ou un groupe de règles. |
| 14 septembre 2023 | [WAF.10] le AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles | Titre de contrôle modifié de Une ACL WAFv2 Web doit comporter au moins une règle ou un groupe de règles à AWS WAF Web ACLs doit avoir au moins une règle ou un groupe de règles. |
| 14 septembre 2023 | [WAF.11] La journalisation des ACL AWS WAF Web doit être activée | Le titre de contrôle modifié de la journalisation de l'ACL Web AWS WAF v2 doit être activé à la journalisation de l'ACL AWS WAF Web doit être activée. |
|
20 juillet 2023 |
[S3.4] Le chiffrement côté serveur doit être activé pour les compartiments S3 | S3.4 vérifie si le chiffrement côté serveur est activé sur un compartiment Amazon S3 ou si la politique du compartiment S3 refuse explicitement les PutObject demandes sans chiffrement côté serveur. Security Hub CSPM a mis à jour ce contrôle pour inclure un chiffrement double couche côté serveur avec des clés KMS (DSSE-KMS). Le contrôle produit un résultat transmis lorsqu'un compartiment S3 est chiffré avec SSE-S3, SSE-KMS ou DSSE-KMS. |
| 17 juillet 2023 | [S3.17] Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys | S3.17 vérifie si un compartiment Amazon S3 est chiffré avec un. AWS KMS key Security Hub CSPM a mis à jour ce contrôle pour inclure un chiffrement double couche côté serveur avec des clés KMS (DSSE-KMS). Le contrôle produit un résultat transmis lorsqu'un compartiment S3 est chiffré avec SSE-KMS ou DSSE-KMS. |
| 9 juin 2023 | [EKS.2] Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge | EKS.2 vérifie si un cluster Amazon EKS s'exécute sur une version de Kubernetes prise en charge. La plus ancienne version prise en charge est maintenant. 1.23 |
| 9 juin 2023 | [Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge | Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM est désormais pris en charge en ruby3.2 tant que paramètre. |
| 5 juin 2023 | [APIGateway.5] Les données du cache de l'API REST API Gateway doivent être chiffrées au repos | APIGateway.5. vérifie si toutes les méthodes des étapes de l'API REST d'Amazon API Gateway sont chiffrées au repos. Security Hub CSPM a mis à jour le contrôle pour évaluer le chiffrement d'une méthode particulière uniquement lorsque la mise en cache est activée pour cette méthode. |
| 18 mai 2023 | [Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge | Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM est désormais pris en charge en java17 tant que paramètre. |
| 18 mai 2023 | [Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge | Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM n'est plus pris en charge en nodejs12.x tant que paramètre. |
| 23 avril 2023 | [ECS.10] Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate | ECS.10 vérifie si les services Amazon ECS Fargate exécutent la dernière version de la plateforme Fargate. Les clients peuvent déployer Amazon ECS par le biais d'ECS directement ou en utilisant CodeDeploy. Security Hub CSPM a mis à jour ce contrôle pour produire des résultats réussis lorsque vous l'utilisez CodeDeploy pour déployer les services ECS Fargate. |
| 20 avril 2023 | [S3.6] Les politiques générales relatives aux compartiments S3 devraient restreindre l'accès à d'autres Comptes AWS | S3.6 vérifie si une politique de compartiment Amazon Simple Storage Service (Amazon S3) empêche les principaux tiers Comptes AWS d'effectuer des actions refusées sur les ressources du compartiment S3. Security Hub CSPM a mis à jour le contrôle pour tenir compte des conditions dans une politique de compartiment. |
| 18 avril 2023 | [Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge | Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM est désormais pris en charge en python3.10 tant que paramètre. |
| 18 avril 2023 | [Lambda.2] Les fonctions Lambda doivent utiliser les environnements d'exécution pris en charge | Lambda.2 vérifie si les paramètres des AWS Lambda fonctions pour les environnements d'exécution correspondent aux valeurs attendues définies pour les environnements d'exécution pris en charge dans chaque langue. Security Hub CSPM n'est plus pris en charge en dotnetcore3.1 tant que paramètre. |
| 17 avril 2023 | [RDS.11] Les sauvegardes automatiques des instances RDS doivent être activées | RDS.11 vérifie si les instances Amazon RDS ont activé les sauvegardes automatisées, avec une période de conservation des sauvegardes supérieure ou égale à sept jours. Security Hub CSPM a mis à jour ce contrôle pour exclure les répliques en lecture de l'évaluation, car tous les moteurs ne prennent pas en charge les sauvegardes automatiques sur les répliques en lecture. En outre, RDS ne permet pas de spécifier une période de conservation des sauvegardes lors de la création de répliques en lecture. Les répliques en lecture sont créées avec une période de conservation des sauvegardes 0 par défaut. |
