Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles suggérés à désactiver dans Security Hub CSPM
Nous vous recommandons de désactiver certains contrôles AWS de Security Hub Cloud Security Posture Management (CSPM) afin de réduire le bruit lié à la détection et les coûts d'utilisation.
Contrôles utilisant des ressources globales
Certains Services AWS prennent en charge les ressources globales, ce qui signifie que vous pouvez accéder à la ressource depuis n'importe quel endroit Région AWS. Pour économiser sur le coût AWS Config, vous pouvez désactiver l'enregistrement des ressources mondiales dans toutes les régions sauf une. Une fois cette opération effectuée, Security Hub CSPM continue d'effectuer des contrôles de sécurité dans toutes les régions où un contrôle est activé et vous facture en fonction du nombre de contrôles par compte et par région. Par conséquent, pour réduire le bruit lié à la recherche et économiser sur le coût du Security Hub CSPM, vous devez également désactiver les contrôles impliquant des ressources mondiales dans toutes les régions, à l'exception de la région qui enregistre les ressources mondiales.
Si un contrôle implique des ressources globales mais n'est disponible que dans une seule région, sa désactivation dans cette région vous empêche d'obtenir des résultats pour la ressource sous-jacente. Dans ce cas, nous vous recommandons de garder le contrôle activé. Lorsque vous utilisez l'agrégation entre régions, la région dans laquelle le contrôle est disponible doit être la région d'agrégation ou l'une des régions liées. Les contrôles suivants concernent des ressources mondiales mais ne sont disponibles que dans une seule région :
Toutes les CloudFront commandes — Disponible uniquement dans la région de l'est des États-Unis (Virginie du Nord)
GlobalAccelerator.1 — Disponible uniquement dans la région ouest des États-Unis (Oregon)
Route 53.2 — Disponible uniquement dans la région de l'Est des États-Unis (Virginie du Nord)
WAF.1, WAF.6, WAF.7, WAF.8 — Disponible uniquement dans la région USA Est (Virginie du Nord)
Note
Si vous utilisez une configuration centralisée, Security Hub CSPM désactive automatiquement les contrôles impliquant des ressources globales dans toutes les régions, à l'exception de la région d'origine. Les autres contrôles que vous choisissez d'activer par le biais d'une politique de configuration sont activés dans toutes les régions où ils sont disponibles. Pour limiter les résultats de ces contrôles à une seule région, vous pouvez mettre à jour les paramètres de votre AWS Config enregistreur et désactiver l'enregistrement des ressources globales dans toutes les régions, à l'exception de la région d'origine.
Si un contrôle activé impliquant des ressources globales n'est pas pris en charge dans la région d'origine, Security Hub CSPM essaie d'activer le contrôle dans une région liée où le contrôle est pris en charge. Avec la configuration centralisée, vous ne pouvez pas couvrir un contrôle qui n'est pas disponible dans la région d'origine ou dans l'une des régions associées.
Pour plus d'informations sur la configuration centrale, consultezComprendre la configuration centrale dans Security Hub CSPM.
Pour les contrôles dotés d'un type de calendrier périodique, il est nécessaire de les désactiver dans Security Hub CSPM pour empêcher la facturation. La définition du AWS Config paramètre includeGlobalResourceTypes sur false n'affecte pas les contrôles périodiques du Security Hub CSPM.
Les contrôles CSPM du Security Hub suivants utilisent des ressources globales :
-
[Compte.1] Les coordonnées de sécurité doivent être fournies pour Compte AWS
-
[Account.2] Comptes AWS doit faire partie d'une organisation AWS Organizations
-
[CloudFront.1] CloudFront les distributions doivent avoir un objet racine par défaut configuré
-
[CloudFront.3] CloudFront les distributions devraient nécessiter un cryptage pendant le transit
-
[CloudFront.4] Le basculement d'origine doit être configuré pour les CloudFront distributions
-
[CloudFront.5] la journalisation des CloudFront distributions doit être activée
-
[CloudFront.6] WAF doit être activé sur les CloudFront distributions
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificats SSL/TLS personnalisés
-
[CloudFront.8] les CloudFront distributions doivent utiliser le SNI pour traiter les requêtes HTTPS
-
[CloudFront.13] les CloudFront distributions doivent utiliser le contrôle d'accès à l'origine
-
[GlobalAccelerator.1] Les accélérateurs Global Accelerator doivent être étiquetés
-
[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges d'administrateur « * » complets
-
[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM
-
[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins
-
[IAM.4] La clé d'accès d'utilisateur IAM root ne devrait pas exister
-
[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine
-
[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées
-
[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule
-
[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule
-
[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole
-
[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre
-
[IAM.16] Vérifier que la politique de mot de passe IAM empêche la réutilisation d'un mot de passe
-
[IAM.18] Vérifier qu'un rôle de support a été créé pour gérer les incidents avec AWS Support
-
[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM
-
[IAM.26] Les certificats SSL/TLS expirés gérés dans IAM doivent être supprimés
-
[IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloud ShellFullAccess
-
[Route53.2] Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS
-
[WAF.1] La journalisation ACL Web globale AWS WAF classique doit être activée
-
[WAF.6] Les règles globales AWS WAF classiques doivent comporter au moins une condition
-
[WAF.7] Les groupes de règles globaux AWS WAF classiques doivent avoir au moins une règle
CloudTrail contrôles de journalisation
Ce contrôle concerne l'utilisation de AWS Key Management Service (AWS KMS) pour chiffrer les journaux de AWS CloudTrail suivi. Si vous enregistrez ces traces dans un compte de journalisation centralisé, vous devez activer ce contrôle uniquement dans le compte et dans la région où la journalisation centralisée a lieu.
Note
Si vous utilisez la configuration centralisée, le statut d'activation d'un contrôle est aligné sur la région d'origine et sur les régions associées. Vous ne pouvez pas désactiver un contrôle dans certaines régions et l'activer dans d'autres. Dans ce cas, supprimez les résultats des commandes suivantes pour réduire le bruit de recherche.
CloudWatch commandes d'alarme
Si vous préférez utiliser Amazon GuardDuty pour la détection des anomalies plutôt que les CloudWatch alarmes Amazon, vous pouvez désactiver les commandes suivantes, qui se concentrent sur les CloudWatch alarmes :
