Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Référence de contrôle pour Security Hub CSPM
Cette référence de contrôle fournit une liste des contrôles AWS Security Hub Cloud Security Posture Management (CSPM) disponibles avec des liens vers des informations supplémentaires sur chaque contrôle. Le tableau récapitulatif affiche les contrôles par ordre alphabétique par ID de contrôle. Seuls les contrôles utilisés activement par Security Hub CSPM sont inclus ici. Les contrôles retirés sont exclus de cette liste. Le tableau fournit les informations suivantes pour chaque contrôle :
-
ID de contrôle de sécurité — Cet identifiant s'applique à toutes les normes et indique la ressource Service AWS et les ressources auxquelles le contrôle se rapporte. La console Security Hub CSPM affiche le contrôle de sécurité IDs, que les résultats de contrôle consolidés soient activés ou non dans votre compte. Toutefois, les résultats du Security Hub CSPM font référence au contrôle de sécurité IDs uniquement si les résultats de contrôle consolidés sont activés dans votre compte. Si les résultats de contrôle consolidés sont désactivés dans votre compte, certains contrôles IDs varient d'une norme à l'autre en ce qui concerne vos résultats de contrôle. Pour un mappage entre le contrôle spécifique à une norme et le contrôle IDs de sécurité IDs, voir. L'impact de la consolidation sur le contrôle IDs et les titres
Si vous souhaitez configurer des automatisations pour les contrôles de sécurité, nous vous recommandons de filtrer en fonction de l'ID du contrôle plutôt que du titre ou de la description. Alors que Security Hub CSPM peut parfois mettre à jour les titres ou les descriptions des contrôles, le contrôle IDs reste le même.
IDs Le contrôle peut ignorer des chiffres. Il s'agit d'espaces réservés pour les futurs contrôles.
-
Normes applicables — Indique à quelles normes s'applique un contrôle. Choisissez un contrôle pour passer en revue les exigences spécifiques des cadres de conformité tiers.
-
Titre du contrôle de sécurité — Ce titre s'applique à toutes les normes. La console Security Hub CSPM affiche les titres des contrôles de sécurité, que les résultats de contrôle consolidés soient activés ou non dans votre compte. Toutefois, les résultats du Security Hub CSPM font référence aux titres des contrôles de sécurité uniquement si les résultats de contrôle consolidés sont activés dans votre compte. Si les résultats de contrôle consolidés sont désactivés dans votre compte, certains titres de contrôle varient selon les normes en termes de résultats de contrôle. Pour un mappage entre le contrôle spécifique à une norme et le contrôle IDs de sécurité IDs, voir. L'impact de la consolidation sur le contrôle IDs et les titres
-
Gravité — La sévérité d'un contrôle identifie son importance du point de vue de la sécurité. Pour plus d'informations sur la manière dont Security Hub CSPM détermine la sévérité des contrôles, consultez. Niveaux de gravité des résultats de contrôle
-
Type de planification — Indique à quel moment le contrôle est évalué. Pour de plus amples informations, veuillez consulter Planification de l'exécution des vérifications de sécurité.
-
Prend en charge les paramètres personnalisés : indique si le contrôle prend en charge les valeurs personnalisées pour un ou plusieurs paramètres. Choisissez un contrôle pour consulter les détails des paramètres. Pour de plus amples informations, veuillez consulter Comprendre les paramètres de contrôle dans Security Hub CSPM.
Choisissez un contrôle pour consulter des informations supplémentaires. Les contrôles sont répertoriés par ordre alphabétique par numéro de contrôle de sécurité.
| ID de contrôle de sécurité | Titre du contrôle de sécurité | Normes applicables | Sévérité | Supporte les paramètres personnalisés | Type de calendrier |
|---|---|---|---|---|---|
| Account.1 | Les coordonnées de sécurité doivent être fournies pour un Compte AWS | CIS AWS Foundations Benchmark v3.0.0, meilleures pratiques de sécurité AWS fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. 5 AWS Control Tower | MOYEN | Périodique | |
| Compte.2 | Compte AWS doit faire partie d'une AWS Organizations organisation | NIST SP 800-53 Rév. 5 | ÉLEVÉ | |
Périodique |
| ACM.1 | Les certificats importés et émis par ACM doivent être renouvelés après une période spécifiée | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. 5 AWS Control Tower, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché et périodique |
| ACM.2 | Les certificats RSA gérés par ACM doivent utiliser une longueur de clé d'au moins 2 048 bits | AWS Bonnes pratiques de sécurité de base v1.0.0, PCI DSS v4.0.1 | ÉLEVÉ | |
Changement déclenché |
| ACM.3 | Les certificats ACM doivent être étiquetés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Amplifier.1 | Les applications Amplify doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Amplifier.2 | Les branches Amplify doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| APIGateway1. | API Gateway REST et la journalisation de l'exécution de l' WebSocket API doivent être activées | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| APIGateway2. | Les étapes de l'API REST d'API Gateway doivent être configurées pour utiliser des certificats SSL pour l'authentification du backend | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5, NIST SP 800-171 Rev. 2 | MOYEN | |
Changement déclenché |
| APIGateway3. | Le AWS X-Ray suivi des étapes de l'API REST d'API Gateway doit être activé | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | BAS | |
Changement déclenché |
| APIGateway4. | API Gateway doit être associé à une ACL Web WAF | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| APIGateway5. | Les données du cache de l'API REST API Gateway doivent être chiffrées au repos | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| APIGateway8. | Les routes API Gateway doivent spécifier un type d'autorisation | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Périodique |
| APIGateway9. | La journalisation des accès doit être configurée pour les étapes API Gateway V2 | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| AppConfig1. | AWS AppConfig les applications doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| AppConfig2. | AWS AppConfig les profils de configuration doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| AppConfig3. | AWS AppConfig les environnements doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| AppConfig4. | AWS AppConfig les associations d'extensions doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| AppFlow1. | AppFlow Les flux Amazon doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| AppRunner1. | Les services App Runner doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| AppRunner2. | Les connecteurs VPC App Runner doivent être étiquetés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| AppSync1. | AWS AppSync Les caches d'API doivent être chiffrés au repos | AWS Bonnes pratiques fondamentales en matière de sécurité | MOYEN | Changement déclenché | |
| AppSync2. | AWS AppSync la journalisation au niveau du champ doit être activée | AWS Bonnes pratiques de sécurité de base v1.0.0, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| AppSync4. | AWS AppSync GraphQL APIs doit être balisé | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| AppSync5. | AWS AppSync GraphQL ne APIs doit pas être authentifié avec des clés d'API | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | |
Changement déclenché |
| AppSync6. | AWS AppSync Les caches d'API doivent être chiffrés pendant le transport | AWS Bonnes pratiques fondamentales en matière de sécurité | MOYEN | Changement déclenché | |
| Athéna.2 | Les catalogues de données Athena doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Athéna.3 | Les groupes de travail Athena doivent être étiquetés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Athéna.4 | La journalisation des groupes de travail Athena doit être activée | AWS Bonnes pratiques fondamentales en matière de sécurité | MOYEN | Changement déclenché | |
| AutoScaling1. | Les groupes Auto Scaling associés à un équilibreur de charge doivent utiliser les contrôles de santé ELB | AWS Bonnes pratiques de sécurité fondamentales, norme de gestion des services :, PCI DSS AWS Control Tower v3.2.1, NIST SP 800-53 Rev. 5 | BAS | Changement déclenché | |
| AutoScaling2. | Le groupe Amazon EC2 Auto Scaling doit couvrir plusieurs zones de disponibilité | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| AutoScaling3. | Les configurations de lancement du groupe Auto Scaling doivent configurer les EC2 instances de manière à ce qu'elles nécessitent la version 2 du service de métadonnées d'instance (IMDSv2) | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5, PCI DSS v4.0.1 | ÉLEVÉ | |
Changement déclenché |
| Autoscaling.5 | EC2 Les instances Amazon lancées à l'aide des configurations de lancement de groupe Auto Scaling ne doivent pas avoir d'adresses IP publiques | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5, PCI DSS v4.0.1 | ÉLEVÉ | |
Changement déclenché |
| AutoScaling6. | Les groupes Auto Scaling doivent utiliser plusieurs types d'instances dans plusieurs zones de disponibilité | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| AutoScaling9. | EC2 Les groupes Auto Scaling doivent utiliser des modèles de EC2 lancement | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| AutoScaling.10 | EC2 Les groupes Auto Scaling doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Sauvegarde.1 | AWS Backup les points de récupération doivent être chiffrés au repos | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| Sauvegarde.2 | AWS Backup les points de récupération doivent être étiquetés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Sauvegarde.3 | AWS Backup les coffres-forts doivent être étiquetés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Sauvegarde.4 | AWS Backup les plans de rapport doivent être étiquetés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Sauvegarde.5 | AWS Backup les plans de sauvegarde doivent être étiquetés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Lot 1 | Les files d'attente de tâches par lots doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Lot 2 | Les politiques de planification par lots doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Lot 3 | Les environnements de calcul par lots doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Lot 4 | Les propriétés des ressources de calcul dans les environnements de calcul Batch gérés doivent être balisées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| CloudFormation2. | CloudFormation les piles doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| CloudFront1. | CloudFront les distributions doivent avoir un objet racine par défaut configuré | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | Changement déclenché | |
| CloudFront3. | CloudFront les distributions devraient nécessiter un chiffrement en transit | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| CloudFront4. | CloudFront le basculement d'origine doit être configuré pour les distributions | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | |
Changement déclenché |
| CloudFront5. | CloudFront la journalisation des distributions doit être activée | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| CloudFront6. | CloudFront le WAF doit être activé sur les distributions | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| CloudFront7. | CloudFront les distributions doivent utiliser des SSL/TLS certificats personnalisés | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MOYEN | |
Changement déclenché |
| CloudFront8. | CloudFront les distributions doivent utiliser le SNI pour traiter les requêtes HTTPS | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | |
Changement déclenché |
| CloudFront9. | CloudFront les distributions doivent chiffrer le trafic vers des origines personnalisées | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| CloudFront.10 | CloudFront les distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| CloudFront.12 | CloudFront les distributions ne doivent pas pointer vers des origines S3 inexistantes | AWS Bonnes pratiques de sécurité de base v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | |
Périodique |
| CloudFront.13 | CloudFront les distributions doivent utiliser le contrôle d'accès à l'origine | AWS Bonnes pratiques de sécurité de base v1.0.0 | MOYEN | |
Changement déclenché |
| CloudFront.14 | CloudFront les distributions doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| CloudTrail1. | CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, meilleures pratiques de sécurité de AWS base, norme de gestion des services :, NIST SP 800-53 Rev. 5 AWS Control Tower | ÉLEVÉ | Périodique | |
| CloudTrail2. | CloudTrail le chiffrement au repos doit être activé | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, CIS AWS AWS Foundations Benchmark v1.4.0 Fondational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | MOYEN | |
Périodique |
| CloudTrail3. | Au moins une CloudTrail piste doit être activée | NIST SP 800-171 Rév. 2, PCI DSS v4.0.1, PCI DSS v3.2.1 | ÉLEVÉ | Périodique | |
| CloudTrail4. | CloudTrail la validation du fichier journal doit être activée | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, PCI DSS v3.2.1, norme de gestion des services : AWS Control Tower | BAS | |
Périodique |
| CloudTrail5. | CloudTrail les sentiers doivent être intégrés à Amazon CloudWatch Logs | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, AWS Foundational Security Best Practices v1.0.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | BAS | |
Périodique |
| CloudTrail6. | Assurez-vous que le compartiment S3 utilisé pour stocker CloudTrail les journaux n'est pas accessible au public | Benchmark CIS AWS Foundations v1.2.0, CIS AWS Foundations Benchmark v1.4.0, PCI DSS v4.0.1 | CRITIQUE | |
Changement déclenché et périodique |
| CloudTrail7. | Assurez-vous que la journalisation des accès au compartiment S3 est activée sur le compartiment CloudTrail S3 | CIS AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v3.0.0, PCI DSS v4.0.1 | BAS | |
Périodique |
| CloudTrail9. | CloudTrail les sentiers doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| CloudTrail.10 | CloudTrail Les magasins de données sur les événements de Lake doivent être chiffrés et gérés par le client AWS KMS keys | NIST SP 800-53 Rév. 5 | MOYEN | Périodique | |
| CloudWatch1. | Un journal, un filtre métrique et une alarme doivent exister pour l'utilisation de l'utilisateur « root » | Benchmark CIS AWS Foundations v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1 | BAS | |
Périodique |
| CloudWatch2. | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les appels d'API non autorisés | CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | |
Périodique |
| CloudWatch3. | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour la connexion à la console de gestion sans MFA | Benchmark CIS AWS Foundations v1.2.0 | BAS | |
Périodique |
| CloudWatch4. | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications de politique IAM | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | |
Périodique |
| CloudWatch5. | Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour les modifications CloudTrail de configuration | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | |
Périodique |
| CloudWatch6. | Assurez-vous qu'un journal, un filtre métrique et une alarme existent en cas AWS Management Console d'échec d'authentification | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | |
Périodique |
| CloudWatch7. | Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour désactiver ou planifier la suppression des fichiers créés par le client. CMKs | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | |
Périodique |
| CloudWatch8. | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications de politique de compartiment S3 | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | |
Périodique |
| CloudWatch9. | Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour les modifications AWS Config de configuration | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | |
Périodique |
| CloudWatch.10 | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications des groupes de sécurité | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | |
Périodique |
| CloudWatch.11 | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications des listes de contrôle d'accès réseau (ACL réseau) | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | |
Périodique |
| CloudWatch.12 | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications des passerelles réseau | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | |
Périodique |
| CloudWatch.13 | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications des tables de routage | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | |
Périodique |
| CloudWatch.14 | Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications VPC | CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | BAS | |
Périodique |
| CloudWatch.15 | CloudWatch les alarmes doivent avoir des actions spécifiées configurées | NIST SP 800-53 rév. 5, NIST SP 800-171 rév. 2 | ÉLEVÉ | |
Changement déclenché |
| CloudWatch.16 | CloudWatch les groupes de journaux doivent être conservés pendant une période spécifiée | NIST SP 800-53 Rév. 5 | MOYEN | |
Périodique |
| CloudWatch.17 | CloudWatch les actions d'alarme doivent être activées | NIST SP 800-53 Rév. 5 | ÉLEVÉ | |
Changement déclenché |
| CodeArtifact1. | CodeArtifact les référentiels doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| CodeBuild1. | CodeBuild Le référentiel source de Bitbucket ne URLs doit pas contenir d'informations d'identification sensibles | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | CRITIQUE | Changement déclenché | |
| CodeBuild2. | CodeBuild les variables d'environnement du projet ne doivent pas contenir d'informations d'identification en texte clair | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | CRITIQUE | |
Changement déclenché |
| CodeBuild3. | CodeBuild Les journaux S3 doivent être chiffrés | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, norme de gestion des services :, AWS Control Tower | BAS | |
Changement déclenché |
| CodeBuild4. | CodeBuild les environnements de projet doivent avoir une configuration de journalisation | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| CodeBuild7. | CodeBuild les exportations de groupes de rapports doivent être cryptées au repos | AWS Bonnes pratiques fondamentales en matière de sécurité | MOYEN | Changement déclenché | |
| CodeGuruProfiler1. | CodeGuru Les groupes de profilage doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| CodeGuruReviewer1. | CodeGuru Les associations de référentiels des réviseurs doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Cognito.1 | Les groupes d'utilisateurs de Cognito doivent avoir la protection contre les menaces activée avec le mode d'application complet pour l'authentification standard | AWS Bonnes pratiques fondamentales en matière de sécurité | MOYEN | Changement déclenché | |
| Config.1 | AWS Config doit être activé et utiliser le rôle lié au service pour l'enregistrement des ressources | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Meilleures pratiques de sécurité de AWS base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1 | CRITIQUE | Périodique | |
| Connecter 1 | Les types d'objets des profils clients Amazon Connect doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Connecter 2 | La CloudWatch journalisation des instances Amazon Connect doit être activée | AWS Bonnes pratiques fondamentales en matière de sécurité | MOYEN | Changement déclenché | |
| DataFirehose1. | Les flux de diffusion de Firehose doivent être chiffrés au repos | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | Périodique | |
| DataSync1. | DataSync la journalisation des tâches doit être activée | AWS Bonnes pratiques fondamentales en matière de sécurité | MOYEN | Changement déclenché | |
| DataSync2. | DataSync les tâches doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Détective 1 | Les graphes de comportement des détectives doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| DMS.1 | Les instances de réplication du Database Migration Service ne doivent pas être publiques | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | CRITIQUE | |
Périodique |
| DMS.2 | Les certificats DMS doivent être étiquetés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| DMS.3 | Les abonnements aux événements DMS doivent être étiquetés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| DMS.4 | Les instances de réplication DMS doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| DMS.5 | Les groupes de sous-réseaux de réplication DMS doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| DMS.6 | La mise à niveau automatique des versions mineures des instances de réplication DMS doit être activée | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| DMS.7 | La journalisation des tâches de réplication DMS pour la base de données cible doit être activée | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| DMS.8 | La journalisation des tâches de réplication DMS pour la base de données source doit être activée | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| DMS.9 | Les points de terminaison DMS doivent utiliser le protocole SSL | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| DMS 10 | Les points de terminaison DMS pour les bases de données Neptune doivent avoir l'autorisation IAM activée | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | Changement déclenché | |
| DMS.11 | Les points de terminaison DMS pour MongoDB doivent avoir un mécanisme d'authentification activé | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | Changement déclenché | |
| DMS.12 | TLS doit être activé sur les points de terminaison DMS pour Redis OSS | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | Changement déclenché | |
| Document DB.1 | Les clusters Amazon DocumentDB doivent être chiffrés au repos | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, norme de gestion des services : AWS Control Tower | MOYEN | |
Changement déclenché |
| Document DB.2 | Les clusters Amazon DocumentDB doivent disposer d'une période de conservation des sauvegardes adéquate | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | MOYEN | |
Changement déclenché |
| Document DB.3 | Les instantanés de cluster manuels Amazon DocumentDB ne doivent pas être publics | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRITIQUE | |
Changement déclenché |
| Document DB.4 | Les clusters Amazon DocumentDB doivent publier les journaux d'audit dans Logs CloudWatch | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| Document DB.5 | La protection contre la suppression des clusters Amazon DocumentDB doit être activée | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| Document DB.6 | Les clusters Amazon DocumentDB doivent être chiffrés pendant le transport | AWS Bonnes pratiques fondamentales en matière de sécurité | MOYEN | Périodique | |
| DynamoDB.1 | Les tables DynamoDB doivent automatiquement adapter la capacité à la demande | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Périodique |
| DynamoDB.2 | La restauration des tables DynamoDB doit être activée point-in-time | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| DynamoDB.3 | Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Périodique |
| Dynamo DB.4 | Les tables DynamoDB doivent être présentes dans un plan de sauvegarde | NIST SP 800-53 Rév. 5 | MOYEN | |
Périodique |
| Dynamo DB.5 | Les tables DynamoDB doivent être balisées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Dynamo DB.6 | La protection contre la suppression des tables DynamoDB doit être activée | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| Dynamo DB.7 | Les clusters DynamoDB Accelerator doivent être chiffrés en transit | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | Périodique | |
| EC21. | Les instantanés EBS ne doivent pas être restaurables publiquement | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | CRITIQUE | |
Périodique |
| EC22. | Les groupes de sécurité VPC par défaut ne doivent pas autoriser le trafic entrant ou sortant | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, Meilleures pratiques de sécurité AWS fondamentales v1.0.0, norme gérée par les services :, PCI DSS v3.2.1, CIS Foundations Benchmark AWS Control Tower v1.4.0, NIST SP 800-53 Rev. 5 AWS | ÉLEVÉ | |
Changement déclenché |
| EC23. | Les volumes EBS attachés doivent être chiffrés au repos | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| EC24. | EC2 Les instances arrêtées doivent être supprimées après une période spécifiée | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Périodique |
| EC26. | La journalisation des flux VPC doit être activée dans tous les cas VPCs | CIS AWS Foundations Benchmark v3.0.0, CIS AWS AWS Foundations Benchmark v1.2.0, Meilleures pratiques de sécurité fondamentales v1.0.0, norme gérée par les services :, PCI DSS v3.2.1, CIS AWS Foundations Benchmark v1.4.0 AWS Control Tower, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MOYEN | |
Périodique |
| EC27. | Le chiffrement par défaut EBS doit être activé | CIS AWS Foundations Benchmark v3.0.0, Meilleures pratiques de sécurité de AWS base v1.0.0, norme de gestion des services :, CIS AWS Foundations Benchmark v1.4.0 AWS Control Tower, NIST SP 800-53 Rev. 5 | MOYEN | |
Périodique |
| EC28. | EC2 les instances doivent utiliser le service de métadonnées d'instance version 2 (IMDSv2) | CIS AWS Foundations Benchmark v3.0.0, meilleures pratiques de sécurité AWS fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | ÉLEVÉ | |
Changement déclenché |
| EC29. | EC2 les instances ne doivent pas avoir d' IPv4 adresse publique | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | ÉLEVÉ | |
Changement déclenché |
| EC2.10 | Amazon EC2 doit être configuré pour utiliser les points de terminaison VPC créés pour le service Amazon EC2 | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5, NIST SP 800-171 Rev. 2 | MOYEN | |
Périodique |
| EC2.12 | Les articles non utilisés EC2 EIPs doivent être retirés | PCI DSS v3.2.1, NIST SP 800-53 Rév. 5 | BAS | |
Changement déclenché |
| EC2.13 | Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22 | CIS AWS Foundations Benchmark v1.2.0, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 Rév. 5, NIST SP 800-171 Rév. 2 | ÉLEVÉ | Changement déclenché et périodique | |
| EC2.14 | Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 3389 | Benchmark CIS AWS Foundations v1.2.0, PCI DSS v4.0.1 | ÉLEVÉ | Changement déclenché et périodique | |
| EC2.15 | EC2 les sous-réseaux ne doivent pas attribuer automatiquement d'adresses IP publiques | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, norme de gestion des services :, AWS Control Tower | MOYEN | |
Changement déclenché |
| EC2.16 | Les listes de contrôle d'accès réseau non utilisées doivent être supprimées | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, norme de gestion des services :, AWS Control Tower | BAS | |
Changement déclenché |
| EC2.17 | EC2 les instances ne doivent pas utiliser plusieurs ENIs | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | BAS | |
Changement déclenché |
| EC2.18 | Les groupes de sécurité ne doivent autoriser le trafic entrant illimité que pour les ports autorisés | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5, NIST SP 800-171 Rev. 2 | ÉLEVÉ | |
Changement déclenché |
| EC2.19 | Les groupes de sécurité ne doivent pas autoriser un accès illimité aux ports présentant un risque élevé | AWS Bonnes pratiques de sécurité fondamentales, norme de gestion des services :, NIST SP 800-53 Rev. 5 AWS Control Tower, NIST SP 800-171 Rev. 2 | CRITIQUE | Changement déclenché et périodique | |
| EC2.20 | Les deux tunnels VPN pour une connexion AWS Site-to-Site VPN doivent être actifs | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5, NIST SP 800-171 Rev. 2 | MOYEN | |
Changement déclenché |
| EC2.21 | ACLs Le réseau ne doit pas autoriser l'entrée de 0.0.0.0/0 vers le port 22 ou le port 3389 | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, meilleures pratiques de sécurité de AWS base, norme de gestion des services :, NIST SP 800-53 Rev. 5 AWS Control Tower, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| EC22.2 | Les groupes EC2 de sécurité non utilisés doivent être supprimés | Norme de gestion des services : AWS Control Tower | MOYEN | Périodique | |
| EC2.23 | EC2 Les passerelles de transit ne doivent pas accepter automatiquement les demandes de pièces jointes VPC | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | |
Changement déclenché |
| EC22.4 | EC2 les types d'instance paravirtuels ne doivent pas être utilisés | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| EC2.25 | EC2 les modèles de lancement ne doivent pas attribuer IPs de public aux interfaces réseau | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | ÉLEVÉ | |
Changement déclenché |
| EC2.28 | Les volumes EBS doivent être inclus dans un plan de sauvegarde | NIST SP 800-53 Rév. 5 | BAS | |
Périodique |
| EC2.33 | EC2 les pièces jointes des passerelles de transit doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| EC2.34 | EC2 les tables de routage des passerelles de transit doivent être balisées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| EC2.35 | EC2 les interfaces réseau doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| EC2.36 | EC2 les passerelles client doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| EC2.37 | EC2 Les adresses IP élastiques doivent être balisées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| EC2.38 | EC2 les instances doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| EC2.39 | EC2 les passerelles Internet doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| EC2.40 | EC2 Les passerelles NAT doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| EC2.41 | EC2 le réseau ACLs doit être étiqueté | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| EC24.2 | EC2 les tables de routage doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| EC24.3 | EC2 les groupes de sécurité doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| EC2.44 | EC2 les sous-réseaux doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| EC2.45 | EC2 les volumes doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| EC2.46 | Amazon VPCs doit être tagué | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| EC24,7 | Les services de point de terminaison Amazon VPC doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| EC2.48 | Les journaux de flux Amazon VPC doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| EC24,9 | Les connexions d'appairage Amazon VPC doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| EC25,0 | EC2 Les passerelles VPN doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| EC25.1 | EC2 La journalisation des connexions client doit être activée sur les points de terminaison VPN du client | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | BAS | |
Changement déclenché |
| EC25.2 | EC2 les passerelles de transit devraient être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| EC25,3 | EC2 les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 vers les ports d'administration des serveurs distants | Benchmark CIS AWS Foundations v3.0.0, PCI DSS v4.0.1 | ÉLEVÉ | Périodique | |
| EC2.54 | EC2 les groupes de sécurité ne doivent pas autoriser l'entrée depuis : :/0 vers les ports d'administration du serveur distant | Benchmark CIS AWS Foundations v3.0.0, PCI DSS v4.0.1 | ÉLEVÉ | Périodique | |
| EC2.55 | VPCs doit être configuré avec un point de terminaison d'interface pour l'API ECR | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | Périodique | |
| EC2.56 | VPCs doit être configuré avec un point de terminaison d'interface pour Docker Registry | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | Périodique | |
| EC25,7 | VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | Périodique | |
| EC2.58 | VPCs doit être configuré avec un point de terminaison d'interface pour les contacts de Systems Manager Incident Manager | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | Périodique | |
| EC2.60 | VPCs doit être configuré avec un point de terminaison d'interface pour Systems Manager Incident Manager | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | Périodique | |
| EC2,170 | EC2 les modèles de lancement doivent utiliser le service de métadonnées d'instance version 2 (IMDSv2) | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | BAS | Changement déclenché | |
| EC2,171 | EC2 La journalisation des connexions VPN doit être activée | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | MOYEN | Changement déclenché | |
| EC2,172 | EC2 Les paramètres d'accès public VPC Block devraient bloquer le trafic de passerelle Internet | AWS Bonnes pratiques fondamentales en matière de sécurité | MOYEN | Changement déclenché | |
| EC2,173 | EC2 Les demandes Spot Fleet doivent permettre le chiffrement des volumes EBS attachés | AWS Bonnes pratiques fondamentales en matière de sécurité | MOYEN | Changement déclenché | |
| EC2,174 | EC2 Les ensembles d'options DHCP doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| EC2,175 | EC2 les modèles de lancement doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| EC2,176 | EC2 les listes de préfixes doivent être balisées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| EC2,177 | EC2 les sessions de miroir du trafic doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| EC2,178 | EC2 les filtres des rétroviseurs doivent être étiquetés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| EC2,179 | EC2 les cibles des miroirs de circulation doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| ECR.1 | La numérisation des images doit être configurée dans les référentiels privés ECR | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | ÉLEVÉ | |
Périodique |
| ECR.2 | L'immuabilité des balises doit être configurée dans les référentiels privés ECR | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| ECR.3 | Les référentiels ECR doivent avoir au moins une politique de cycle de vie configurée | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| ECR.4 | Les référentiels publics ECR doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| ECR.5 | Les référentiels ECR doivent être chiffrés et gérés par le client AWS KMS keys | NIST SP 800-53 Rév. 5 | MOYEN | Changement déclenché | |
| ECS.1 | Les définitions de tâches Amazon ECS doivent comporter des modes réseau et des définitions d'utilisateur sécurisés. | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | ÉLEVÉ | |
Changement déclenché |
| ECS.2 | Aucune adresse IP publique ne doit être attribuée automatiquement aux services ECS | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | ÉLEVÉ | |
Changement déclenché |
| ECS.3 | Les définitions de tâches ECS ne doivent pas partager l'espace de noms de processus de l'hôte | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | ÉLEVÉ | |
Changement déclenché |
| ECS.4 | Les conteneurs ECS doivent fonctionner comme des conteneurs non privilégiés | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | ÉLEVÉ | |
Changement déclenché |
| ECS.5 | Les conteneurs ECS doivent être limités à l'accès en lecture seule aux systèmes de fichiers racines | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | ÉLEVÉ | |
Changement déclenché |
| ECS.8 | Les secrets ne doivent pas être transmis en tant que variables d'environnement de conteneur | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | ÉLEVÉ | |
Changement déclenché |
| ECS.9 | Les définitions de tâches ECS doivent avoir une configuration de journalisation | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | |
Changement déclenché |
| ECS.10 | Les services ECS Fargate doivent fonctionner sur la dernière version de la plateforme Fargate | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | MOYEN | |
Changement déclenché |
| ECS.12 | Les clusters ECS doivent utiliser Container Insights | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| ECS.13 | Les services ECS doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| ECS.14 | Les clusters ECS doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| ECS.15 | Les définitions de tâches ECS doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| ECS.16 | Les ensembles de tâches ECS ne doivent pas attribuer automatiquement d'adresses IP publiques | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | Changement déclenché | |
| ECS.17 | Les définitions de tâches ECS ne doivent pas utiliser le mode réseau hôte | NIST SP 800-53 Rév. 5 | MOYEN | Changement déclenché | |
| EFS.1 | Le système de fichiers Elastic doit être configuré pour chiffrer les données des fichiers au repos à l'aide de AWS KMS | CIS AWS Foundations Benchmark v3.0.0, meilleures pratiques de sécurité AWS fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. 5 AWS Control Tower | MOYEN | |
Périodique |
| EFS.2 | Les volumes Amazon EFS doivent figurer dans des plans de sauvegarde | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Périodique |
| EFS.3 | Les points d'accès EFS doivent appliquer un répertoire racine | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| EFS.4 | Les points d'accès EFS doivent renforcer l'identité de l'utilisateur | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | MOYEN | |
Changement déclenché |
| EFS.5 | Les points d'accès EFS doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| EFS.6 | Les cibles de montage EFS ne doivent pas être associées à un sous-réseau public | AWS Bonnes pratiques fondamentales en matière de sécurité | MOYEN | Périodique | |
| EFS.7 | Les sauvegardes automatiques des systèmes de fichiers EFS doivent être activées | AWS Bonnes pratiques fondamentales en matière de sécurité | MOYEN | Changement déclenché | |
| EFS.8 | Les systèmes de fichiers EFS doivent être chiffrés au repos | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | Changement déclenché | |
| EKS.1 | Les points de terminaison du cluster EKS ne doivent pas être accessibles au public | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | |
Périodique |
| EKS.2 | Les clusters EKS doivent fonctionner sur une version de Kubernetes prise en charge | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | ÉLEVÉ | |
Changement déclenché |
| EKS 3 | Les clusters EKS doivent utiliser des secrets Kubernetes chiffrés | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | Périodique | |
| EKS 6 | Les clusters EKS doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| EKS 7 | Les configurations du fournisseur d'identité EKS doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| EKS.8 | La journalisation des audits doit être activée sur les clusters EKS | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| ElastiCache1. | ElastiCache Les sauvegardes automatiques des clusters (Redis OSS) doivent être activées | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | |
Périodique |
| ElastiCache2. | ElastiCache les mises à niveau automatiques des versions mineures doivent être activées sur les clusters | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | ÉLEVÉ | |
Périodique |
| ElastiCache3. | ElastiCache le basculement automatique doit être activé pour les groupes de réplication | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Périodique |
| ElastiCache4. | ElastiCache les groupes de réplication doivent être encrypted-at-rest | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Périodique |
| ElastiCache5. | ElastiCache les groupes de réplication doivent être encrypted-in-transit | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Périodique |
| ElastiCache6. | ElastiCache Les groupes de réplication (Redis OSS) des versions antérieures doivent avoir Redis OSS AUTH activé | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Périodique |
| ElastiCache7. | ElastiCache les clusters ne doivent pas utiliser le groupe de sous-réseaux par défaut | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | |
Périodique |
| ElasticBeanstalk1. | Les environnements Elastic Beanstalk devraient être dotés de rapports de santé améliorés | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | BAS | |
Changement déclenché |
| ElasticBeanstalk2. | Les mises à jour de la plateforme gérée Elastic Beanstalk doivent être activées | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | ÉLEVÉ | |
Changement déclenché |
| ElasticBeanstalk3. | Elastic Beanstalk devrait diffuser les logs vers CloudWatch | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | |
Changement déclenché |
| ELB.1 | Application Load Balancer doit être configuré pour rediriger toutes les requêtes HTTP vers HTTPS | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | MOYEN | |
Périodique |
| ELB.2 | Les équilibreurs de charge classiques avec SSL/HTTPS écouteurs doivent utiliser un certificat fourni par AWS Certificate Manager | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5, NIST SP 800-171 Rev. 2 | MOYEN | |
Changement déclenché |
| ELB.3 | Les écouteurs Classic Load Balancer doivent être configurés avec une terminaison HTTPS ou TLS | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | MOYEN | |
Changement déclenché |
| ELB.4 | Application Load Balancer doit être configuré pour supprimer les en-têtes HTTP | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | MOYEN | |
Changement déclenché |
| ELB.5 | La journalisation des applications et des équilibreurs de charge classiques doit être activée | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| ELB.6 | La protection contre les suppressions doit être activée sur les équilibreurs de charge des applications, des passerelles et du réseau | AWS Meilleures pratiques de sécurité fondamentales, norme de gestion des services : AWS Control Tower, NIST SP 800-53 Rev. 5 | MOYEN | Changement déclenché | |
| ELB.7 | Le drainage des connexions doit être activé sur les équilibreurs de charge classiques | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| ELB.8 | Les équilibreurs de charge classiques dotés d'écouteurs SSL doivent utiliser une politique de sécurité prédéfinie dotée d'une configuration solide. | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | MOYEN | |
Changement déclenché |
| ELB.9 | L'équilibrage de charge entre zones doit être activé sur les équilibreurs de charge classiques | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| ELB.10 | Le Classic Load Balancer doit couvrir plusieurs zones de disponibilité | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| ELB.12 | Application Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | MOYEN | |
Changement déclenché |
| ELB.13 | Les équilibreurs de charge des applications, du réseau et des passerelles doivent couvrir plusieurs zones de disponibilité | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| ELB.14 | Le Classic Load Balancer doit être configuré avec le mode défensif ou le mode d'atténuation de désynchronisation le plus strict | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | MOYEN | |
Changement déclenché |
| ELB.16 | Les équilibreurs de charge d'application doivent être associés à une ACL AWS Web WAF | NIST SP 800-53 Rév. 5 | MOYEN | |
Changement déclenché |
| ELB.17 | Les équilibreurs de charge des applications et du réseau dotés d'écouteurs doivent utiliser les politiques de sécurité recommandées | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| EMR.1 | Les nœuds principaux du cluster Amazon EMR ne doivent pas avoir d'adresses IP publiques | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | ÉLEVÉ | Périodique | |
| EMR 2 | Le paramètre de blocage de l'accès public à Amazon EMR doit être activé | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRITIQUE | Périodique | |
| EMR 3 | Les configurations de sécurité Amazon EMR doivent être chiffrées au repos | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | Changement déclenché | |
| EMR 4 | Les configurations de sécurité Amazon EMR doivent être cryptées pendant le transport | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | Changement déclenché | |
| ES.1 | Le chiffrement au repos doit être activé dans les domaines Elasticsearch | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | MOYEN | |
Périodique |
| ES.2 | Les domaines Elasticsearch ne doivent pas être accessibles au public | AWS Bonnes pratiques de sécurité fondamentales, PCI DSS v3.2.1, PCI DSS v4.0.1, NIST SP 800-53 Rev. 5, norme de gestion des services : AWS Control Tower | CRITIQUE | |
Périodique |
| ES.3 | Les domaines Elasticsearch doivent chiffrer les données envoyées entre les nœuds | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, norme de gestion des services :, AWS Control Tower | MOYEN | |
Changement déclenché |
| ES.4 | La journalisation des erreurs du domaine Elasticsearch dans les CloudWatch journaux doit être activée | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| ES.5 | La journalisation des audits doit être activée dans les domaines Elasticsearch | AWS Meilleures pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, norme de gestion des services : AWS Control Tower | MOYEN | |
Changement déclenché |
| ES.6 | Les domaines Elasticsearch doivent comporter au moins trois nœuds de données | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| ES.7 | Les domaines Elasticsearch doivent être configurés avec au moins trois nœuds maîtres dédiés | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| ES.8 | Les connexions aux domaines Elasticsearch doivent être chiffrées à l'aide de la dernière politique de sécurité TLS | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | MOYEN | Changement déclenché | |
| ES.9 | Les domaines Elasticsearch doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| EventBridge2. | EventBridge les bus d'événements doivent être étiquetés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| EventBridge3. | EventBridge les bus d'événements personnalisés doivent être associés à une politique basée sur les ressources | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BAS | |
Changement déclenché |
| EventBridge4. | EventBridge la réplication des événements doit être activée sur les points de terminaison globaux | NIST SP 800-53 Rév. 5 | MOYEN | |
Changement déclenché |
| FraudDetector1. | Les types d'entités Amazon Fraud Detector doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| FraudDetector2. | Les étiquettes Amazon Fraud Detector doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| FraudDetector3. | Les résultats d'Amazon Fraud Detector doivent être étiquetés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| FraudDetector4. | Les variables Amazon Fraud Detector doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| FSx1. | FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes et les volumes | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | |
Périodique |
| FSx2. | FSx pour Lustre, les systèmes de fichiers doivent être configurés pour copier les balises dans les sauvegardes | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | BAS | Périodique | |
| FSx3. | FSx pour OpenZFS, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | Périodique | |
| FSx4. | FSx pour les systèmes de fichiers NetApp ONTAP doivent être configurés pour un déploiement multi-AZ | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | Périodique | |
| FSx5. | FSx pour Windows File Server, les systèmes de fichiers doivent être configurés pour un déploiement multi-AZ | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | Périodique | |
| Colle.1 | AWS Glue les emplois doivent être étiquetés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Colle.3 | AWS Glue les transformations de machine learning doivent être cryptées au repos | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | Changement déclenché | |
| Colle.4 | AWS Glue Les tâches Spark doivent s'exécuter sur les versions prises en charge de AWS Glue | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | Changement déclenché | |
| GlobalAccelerator1. | Les accélérateurs Global Accelerator doivent être étiquetés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| GuardDuty1. | GuardDuty doit être activé | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | ÉLEVÉ | |
Périodique |
| GuardDuty2. | GuardDuty les filtres doivent être étiquetés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| GuardDuty3. | GuardDuty IPSets doit être étiqueté | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| GuardDuty4. | GuardDuty les détecteurs doivent être étiquetés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| GuardDuty5. | GuardDuty La surveillance du journal d'audit EKS doit être activée | AWS Bonnes pratiques de sécurité fondamentales | ÉLEVÉ | Périodique | |
| GuardDuty6. | GuardDuty La protection Lambda doit être activée | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | Périodique | |
| GuardDuty7. | GuardDuty La surveillance du temps d'exécution EKS doit être activée | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | MOYEN | Périodique | |
| GuardDuty8. | GuardDuty La protection contre les logiciels malveillants EC2 doit être activée | AWS Bonnes pratiques de sécurité fondamentales | ÉLEVÉ | Périodique | |
| GuardDuty9. | GuardDuty La protection RDS doit être activée | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | Périodique | |
| GuardDuty.10 | GuardDuty La protection S3 doit être activée | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | Périodique | |
| GuardDuty.11 | GuardDuty La surveillance du temps d'exécution doit être activée | AWS Bonnes pratiques de sécurité fondamentales | ÉLEVÉ | Périodique | |
| GuardDuty.12 | GuardDuty La surveillance du temps d'exécution ECS doit être activée | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | Périodique | |
| GuardDuty.13 | GuardDuty EC2 La surveillance du temps d'exécution doit être activée | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | Périodique | |
| IAM.1 | Les politiques IAM ne doivent pas autoriser des privilèges administratifs « * » complets | CIS AWS Foundations Benchmark v1.2.0, Meilleures pratiques de sécurité AWS fondamentales v1.0.0, norme de gestion des services :, PCI DSS v3.2.1 AWS Control Tower, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | ÉLEVÉ | |
Changement déclenché |
| IAM.2 | Les utilisateurs IAM ne doivent pas être associés à des politiques IAM | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, Meilleures pratiques de sécurité AWS fondamentales v1.0.0, norme gérée par les services :, PCI DSS v3.2.1, NIST SP 800-53 Rev. 5 AWS Control Tower, NIST SP 800-171 Rev. 2 | BAS | |
Changement déclenché |
| IAM.3 | Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Meilleures pratiques de sécurité de AWS base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | MOYEN | |
Périodique |
| IAM.4 | La clé d'accès de l'utilisateur root IAM ne doit pas exister | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Meilleures pratiques de sécurité de AWS base v1.0.0, norme gérée par les services :, PCI DSS v3.2.1, NIST SP 800-53 Rev. AWS Control Tower 5 | CRITIQUE | |
Périodique |
| IAM.5 | La MFA doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, Meilleures pratiques de sécurité de AWS base, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | MOYEN | |
Périodique |
| IAM.6 | Le MFA matériel doit être activé pour l'utilisateur root | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS AWS Foundations Benchmark v1.2.0, meilleures pratiques de sécurité de base, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | CRITIQUE | |
Périodique |
| IAM.7 | Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | MOYEN | |
Périodique |
| IAM.8 | Les informations d'identification utilisateur IAM non utilisées doivent être supprimées | CIS AWS Foundations Benchmark v1.2.0, meilleures pratiques de sécurité AWS fondamentales, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | MOYEN | |
Périodique |
| IAM.9 | La MFA doit être activée pour l'utilisateur root | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRITIQUE | |
Périodique |
| JE SUIS 10 | Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte | NIST SP 800-171 Rév. 2, PCI DSS v3.2.1 | MOYEN | |
Périodique |
| IAM.11 | Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule | CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MOYEN | |
Périodique |
| IAM.12 | Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule | CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MOYEN | |
Périodique |
| IAM.13 | Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole | CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MOYEN | |
Périodique |
| IAM.14 | Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre | CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | MOYEN | |
Périodique |
| IAM.15 | Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2 | MOYEN | |
Périodique |
| IAM.16 | Vérifier que la politique de mot de passe IAM empêche la réutilisation d'un mot de passe | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | BAS | |
Périodique |
| IAM.17 | Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins | CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | BAS | |
Périodique |
| IAM.18 | Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1 | BAS | |
Périodique |
| JE SUIS 19 | La MFA doit être activée pour tous les utilisateurs IAM | NIST SP 800-53 rév. 5, NIST SP 800-171 rév. 2, PCI DSS v3.2.1, PCI DSS v4.0.1 | MOYEN | |
Périodique |
| IAM.21 | Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5, NIST SP 800-171 Rev. 2 | BAS | |
Changement déclenché |
| JE SUIS 22 | Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées | Benchmark CIS AWS Foundations v3.0.0, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-171 Rev. 2 | MOYEN | |
Périodique |
| J'AI 23 ANS | Les analyseurs IAM Access Analyzer doivent être étiquetés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| JE SUIS 24 | Les rôles IAM doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| J'AI 25 ANS | Les utilisateurs IAM doivent être tagués | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| JE SUIS 26 | SSL/TLS Les certificats expirés gérés dans IAM doivent être supprimés | Benchmark CIS AWS Foundations v3.0.0 | MOYEN | Périodique | |
| JE SUIS 27 | La AWSCloud ShellFullAccess politique ne doit pas être attachée aux identités IAM | Benchmark CIS AWS Foundations v3.0.0 | MOYEN | Changement déclenché | |
| JE SUIS 28 | L'analyseur d'accès externe IAM Access Analyzer doit être activé | Benchmark CIS AWS Foundations v3.0.0 | ÉLEVÉ | Périodique | |
| Inspecteur.1 | Le EC2 scan Amazon Inspector doit être activé | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | Périodique | |
| Inspecteur 2 | Le scan ECR d'Amazon Inspector doit être activé | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | Périodique | |
| Inspecteur.3 | La numérisation du code Lambda par Amazon Inspector doit être activée | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | Périodique | |
| Inspecteur.4 | Le scan standard Amazon Inspector Lambda doit être activé | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | Périodique | |
| IoT.1 | AWS IoT Device Defender les profils de sécurité doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| IoT 2 | AWS IoT Core les mesures d'atténuation doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| IoT. 3 | AWS IoT Core les dimensions doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| IoT 4 | AWS IoT Core les autorisateurs doivent être étiquetés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Internet des objets 5 | AWS IoT Core les alias de rôle doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| IoT .6 | AWS IoT Core les politiques doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Io TEvents 1.1 | AWS IoT Events les entrées doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Io TEvents 2.2 | AWS IoT Events les modèles de détecteurs doivent être étiquetés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Io TEvents 1.3 | AWS IoT Events les modèles d'alarme doivent être étiquetés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Io TSite Wise.1 | AWS IoT SiteWise les modèles d'actifs doivent être étiquetés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Io TSite Wise.2 | AWS IoT SiteWise les tableaux de bord doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Io TSite Wise.3 | AWS IoT SiteWise les passerelles doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Io TSite Wise.4 | AWS IoT SiteWise les portails doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Io TSite Wise.5 | AWS IoT SiteWise les projets doivent être étiquetés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Io TTwin Maker.1 | AWS Les tâches de TwinMaker synchronisation de l'IoT doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Io TTwin Maker.2 | AWS Les TwinMaker espaces de travail IoT doivent être étiquetés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Io TTwin Maker.3 | AWS Les TwinMaker scènes IoT doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Io TTwin Maker.4 | AWS TwinMaker Les entités IoT doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Io TWireless 1.1 | AWS Les groupes de multidiffusion IoT Wireless doivent être étiquetés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Io TWireless 2.2 | AWS Les profils de service IoT Wireless doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Io TWireless 1.3 | AWS Les tâches IoT Wireless FUOTA doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| IVS.1 | Les paires de clés de lecture IVS doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| IVS.2 | Les configurations d'enregistrement IVS doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| IVS.3 | Les canaux IVS doivent être étiquetés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Espaces clés. 1 | Les espaces de touches Amazon Keyspaces doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Kinesis.1 | Les flux Kinesis doivent être chiffrés au repos | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| Kinése.2 | Les flux Kinesis doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Kinése.3 | Les flux Kinesis doivent avoir une période de conservation des données adéquate | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | Changement déclenché | |
| KMS.1 | Les politiques gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| KMS.2 | Les principaux IAM ne doivent pas avoir de politiques IAM en ligne autorisant les actions de déchiffrement sur toutes les clés KMS. | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| KMS.3 | AWS KMS keys ne doit pas être supprimé par inadvertance | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | CRITIQUE | |
Changement déclenché |
| KMS.4 | AWS KMS key la rotation doit être activée | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v1.2.0, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1 | MOYEN | |
Périodique |
| KMS 5 | Les clés KMS ne doivent pas être accessibles au public | AWS Bonnes pratiques de sécurité fondamentales | CRITIQUE | Changement déclenché | |
| Lambda.1 | Les politiques relatives à la fonction Lambda devraient interdire l'accès public | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | CRITIQUE | |
Changement déclenché |
| Lambda.2 | Les fonctions Lambda doivent utiliser des environnements d'exécution pris en charge | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | MOYEN | |
Changement déclenché |
| Lambda.3 | Les fonctions Lambda doivent se trouver dans un VPC | PCI DSS v3.2.1, NIST SP 800-53 Rév. 5 | BAS | |
Changement déclenché |
| Lambda.5 | Les fonctions VPC Lambda doivent fonctionner dans plusieurs zones de disponibilité | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| Lambda 6 | Les fonctions Lambda doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Macie.1 | Amazon Macie devrait être activé | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Périodique |
| Macie 2 | La découverte automatique des données sensibles par Macie doit être activée | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | ÉLEVÉ | Périodique | |
| MSK 1 | Les clusters MSK doivent être chiffrés lors du transit entre les nœuds du courtier | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| MSK 2 | Les clusters MSK doivent avoir une surveillance améliorée configurée | NIST SP 800-53 Rév. 5 | BAS | |
Changement déclenché |
| MSK 3 | Les connecteurs MSK Connect doivent être chiffrés pendant le transport | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | MOYEN | Changement déclenché | |
| MQ.2 | Les courtiers ActiveMQ doivent diffuser les journaux d'audit à CloudWatch | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | Changement déclenché | |
| MQ.3 | Les courtiers Amazon MQ devraient activer la mise à niveau automatique des versions mineures | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BAS | Changement déclenché | |
| MQ.4 | Les courtiers Amazon MQ doivent être étiquetés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| MQ.5 | Les courtiers ActiveMQ doivent utiliser le mode déploiement active/standby | NIST SP 800-53 Rev. 5, norme de gestion des services : AWS Control Tower | BAS | |
Changement déclenché |
| MQ.6 | Les courtiers RabbitMQ doivent utiliser le mode de déploiement en cluster | NIST SP 800-53 Rev. 5, norme de gestion des services : AWS Control Tower | BAS | |
Changement déclenché |
| Neptune.1 | Les clusters de base de données Neptune doivent être chiffrés au repos | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, norme de gestion des services : AWS Control Tower | MOYEN | |
Changement déclenché |
| Neptune.2 | Les clusters de base de données Neptune doivent publier les journaux d'audit dans Logs CloudWatch | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | MOYEN | |
Changement déclenché |
| Neptune.3 | Les instantanés du cluster de base de données Neptune ne doivent pas être publics | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | CRITIQUE | |
Changement déclenché |
| Neptune.4 | La protection contre la suppression des clusters de base de données Neptune doit être activée | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, norme de gestion des services : AWS Control Tower | BAS | |
Changement déclenché |
| Neptune.5 | Les sauvegardes automatiques des clusters de base de données Neptune doivent être activées | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, norme de gestion des services : AWS Control Tower | MOYEN | |
Changement déclenché |
| Neptune.6 | Les instantanés du cluster de base de données Neptune doivent être chiffrés au repos | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, norme de gestion des services : AWS Control Tower | MOYEN | |
Changement déclenché |
| Neptune.7 | L'authentification de base de données IAM doit être activée pour les clusters de base de données Neptune | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, norme de gestion des services : AWS Control Tower | MOYEN | |
Changement déclenché |
| Neptune.8 | Les clusters de base de données Neptune doivent être configurés pour copier des balises dans des instantanés | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, norme de gestion des services : AWS Control Tower | BAS | |
Changement déclenché |
| Neptune.9 | Les clusters de base de données Neptune doivent être déployés dans plusieurs zones de disponibilité | NIST SP 800-53 Rév. 5 | MOYEN | |
Changement déclenché |
| NetworkFirewall1. | Les pare-feux Network Firewall doivent être déployés dans plusieurs zones de disponibilité | NIST SP 800-53 Rév. 5 | MOYEN | |
Changement déclenché |
| NetworkFirewall2. | La journalisation par Network Firewall doit être activée | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MOYEN | |
Périodique |
| NetworkFirewall3. | Les politiques de Network Firewall doivent être associées à au moins un groupe de règles | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5, NIST SP 800-171 Rev. 2 | MOYEN | |
Changement déclenché |
| NetworkFirewall4. | L'action apatride par défaut pour les politiques de Network Firewall doit être « drop » ou « forward » pour les paquets complets. | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| NetworkFirewall5. | L'action apatride par défaut pour les politiques de Network Firewall doit être « drop » ou « forward » pour les paquets fragmentés. | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5, NIST SP 800-171 Rev. 2 | MOYEN | |
Changement déclenché |
| NetworkFirewall6. | Le groupe de règles de pare-feu réseau sans état ne doit pas être vide | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5, NIST SP 800-171 Rev. 2 | MOYEN | |
Changement déclenché |
| NetworkFirewall7. | Les pare-feux Network Firewall doivent être étiquetés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| NetworkFirewall8. | Les politiques de pare-feu de Network Firewall doivent être balisées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| NetworkFirewall9. | La protection contre les suppressions doit être activée sur les pare-feux Network Firewall | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| NetworkFirewall.10 | La protection contre les modifications de sous-réseau doit être activée sur les pare-feux Network Firewall | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | Changement déclenché | |
| Opensearch.1 | OpenSearch le chiffrement au repos doit être activé dans les domaines | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| Opensearch.2 | OpenSearch les domaines ne doivent pas être accessibles au public | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | CRITIQUE | |
Changement déclenché |
| Opensearch.3 | OpenSearch les domaines doivent chiffrer les données envoyées entre les nœuds | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| Opensearch.4 | OpenSearch la journalisation des erreurs de domaine dans CloudWatch Logs doit être activée | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| Opensearch.5 | OpenSearch la journalisation des audits doit être activée pour les domaines | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | MOYEN | |
Changement déclenché |
| Opensearch.6 | OpenSearch les domaines doivent comporter au moins trois nœuds de données | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| Opensearch.7 | OpenSearch le contrôle d'accès détaillé des domaines doit être activé | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | ÉLEVÉ | |
Changement déclenché |
| Opensearch.8 | Les connexions aux OpenSearch domaines doivent être cryptées selon la dernière politique de sécurité TLS | AWS Meilleures pratiques de sécurité fondamentales, norme de gestion des services : AWS Control Tower, NIST SP 800-53 Rev. 5 | MOYEN | Changement déclenché | |
| Opensearch.9 | OpenSearch les domaines doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Opensearch.10 | OpenSearch la dernière mise à jour logicielle doit être installée sur les domaines | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | BAS | |
Changement déclenché |
| Opensearch.11 | OpenSearch les domaines doivent avoir au moins trois nœuds principaux dédiés | NIST SP 800-53 Rév. 5 | BAS | Périodique | |
| PCA.1 | AWS Private CA l'autorité de certification racine doit être désactivée | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | |
Périodique |
| PCA.2 | AWS Les autorités de certification privées de l'autorité de certification doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| RDS.1 | L'instantané RDS doit être privé | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | CRITIQUE | |
Changement déclenché |
| RDS.2 | Les instances de base de données RDS doivent interdire l'accès public, tel que déterminé par la configuration PubliclyAccessible | CIS AWS Foundations Benchmark v3.0.0, meilleures pratiques de sécurité de AWS base, norme de gestion des services :, NIST SP 800-53 Rev. 5 AWS Control Tower, PCI DSS v3.2.1, PCI DSS v4.0.1 | CRITIQUE | |
Changement déclenché |
| RDS.3 | Le chiffrement au repos des instances de base de données RDS doit être activé | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Meilleures pratiques de sécurité AWS fondamentales v1.0.0, norme gérée par les services :, NIST SP 800-53 Rev. 5 AWS Control Tower | MOYEN | |
Changement déclenché |
| RDS.4 | Les instantanés du cluster RDS et les instantanés de base de données doivent être chiffrés au repos | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| RDS.5 | Les instances de base de données RDS doivent être configurées avec plusieurs zones de disponibilité | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| RDS.6 | Une surveillance améliorée doit être configurée pour les instances de base de données RDS | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | BAS | |
Changement déclenché |
| RDS.7 | La protection contre la suppression des clusters RDS doit être activée | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | |
Changement déclenché |
| RDS.8 | La protection contre la suppression des instances de base de données RDS doit être activée | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | BAS | |
Changement déclenché |
| RDS.9 | Les instances de base de données RDS doivent publier les journaux dans Logs CloudWatch | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | MOYEN | |
Changement déclenché |
| RDS.10 | L'authentification IAM doit être configurée pour les instances RDS | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| RDS.11 | Les sauvegardes automatiques doivent être activées sur les instances RDS | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| RDS.12 | L'authentification IAM doit être configurée pour les clusters RDS | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| RDS.13 | Les mises à niveau automatiques des versions mineures de RDS doivent être activées | CIS AWS Foundations Benchmark v3.0.0, meilleures pratiques de sécurité AWS fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | ÉLEVÉ | |
Changement déclenché |
| RDS.14 | Le retour en arrière doit être activé sur les clusters Amazon Aurora | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| RDS.15 | Les clusters de base de données RDS doivent être configurés pour plusieurs zones de disponibilité | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| RDS.16 | Les clusters de base de données RDS doivent être configurés pour copier des balises dans des instantanés | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | BAS | |
Changement déclenché |
| RDS.17 | Les instances de base de données RDS doivent être configurées pour copier des balises dans des instantanés | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | BAS | |
Changement déclenché |
| RDS.18 | Les instances RDS doivent être déployées dans un VPC | Norme de gestion des services : AWS Control Tower | ÉLEVÉ | |
Changement déclenché |
| RDS.19 | Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques du cluster | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | BAS | |
Changement déclenché |
| RDS.20 | Les abonnements existants aux notifications d'événements RDS doivent être configurés pour les événements critiques liés aux instances de base de données | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | BAS | |
Changement déclenché |
| RDS.21 | Un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques liés aux groupes de paramètres de base de données. | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | BAS | |
Changement déclenché |
| RDS.22 | Un abonnement aux notifications d'événements RDS doit être configuré pour les événements critiques des groupes de sécurité de base de données. | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | BAS | |
Changement déclenché |
| RDS.23 | Les instances RDS ne doivent pas utiliser de port par défaut du moteur de base de données | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | BAS | |
Changement déclenché |
| RDS.24 | Les clusters de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| RDS.25 | Les instances de base de données RDS doivent utiliser un nom d'utilisateur d'administrateur personnalisé | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | MOYEN | |
Changement déclenché |
| RDS.26 | Les instances de base de données RDS doivent être protégées par un plan de sauvegarde | NIST SP 800-53 Rév. 5 | MOYEN | |
Périodique |
| RDS.27 | Les clusters de base de données RDS doivent être chiffrés au repos | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, norme de gestion des services : AWS Control Tower | MOYEN | |
Changement déclenché |
| RDS.28 | Les clusters de base de données RDS doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| RDS.29 | Les instantanés du cluster de base de données RDS doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| RDS.30 | Les instances de base de données RDS doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| RDS.31 | Les groupes de sécurité de base de données RDS doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| RDS.32 | Les instantanés de base de données RDS doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| RDS.33 | Les groupes de sous-réseaux de base de données RDS doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| RDS.34 | Les clusters de base de données Aurora MySQL doivent publier les journaux d'audit dans CloudWatch Logs | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| RDS.35 | La mise à niveau automatique des versions mineures des clusters de base de données RDS doit être activée | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| RDS.36 | Les instances de base de données RDS pour PostgreSQL doivent publier les journaux dans Logs CloudWatch | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | MOYEN | Changement déclenché | |
| RDS.37 | Les clusters de base de données Aurora PostgreSQL doivent publier les journaux dans Logs CloudWatch | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | MOYEN | Changement déclenché | |
| RDS.38 | Les instances de base de données RDS pour PostgreSQL doivent être chiffrées en transit | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | Périodique | |
| RDS.39 | Les instances de base de données RDS pour MySQL doivent être chiffrées en transit | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | Périodique | |
| RDS.40 | Les instances de base de données RDS pour SQL Server doivent publier les journaux dans Logs CloudWatch | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | Changement déclenché | |
| RDS.41 | Les instances de base de données RDS pour SQL Server doivent être chiffrées pendant le transit | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | Périodique | |
| RDS.42 | Les instances de base de données RDS pour MariaDB doivent publier les journaux dans Logs CloudWatch | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | Périodique | |
| RDS 44 | Les instances de base de données RDS pour MariaDB doivent être chiffrées en transit | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | Périodique | |
| Redshift.1 | Les clusters Amazon Redshift devraient interdire l'accès public | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | CRITIQUE | |
Changement déclenché |
| Redshift.2 | Les connexions aux clusters Amazon Redshift doivent être chiffrées pendant le transit | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | MOYEN | |
Changement déclenché |
| Redshift.3 | Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| Redshift.4 | La journalisation des audits doit être activée sur les clusters Amazon Redshift | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | MOYEN | |
Changement déclenché |
| Redshift.6 | Amazon Redshift devrait activer les mises à niveau automatiques vers les versions majeures | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| Redshift.7 | Les clusters Redshift doivent utiliser un routage VPC amélioré | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| Redshift.8 | Les clusters Amazon Redshift ne doivent pas utiliser le nom d'utilisateur d'administrateur par défaut | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| Redshift.9 | Les clusters Redshift ne doivent pas utiliser le nom de base de données par défaut | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| Redshift.10 | Les clusters Redshift doivent être chiffrés au repos | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| Redshift.11 | Les clusters Redshift doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Redshift.12 | Les notifications d'abonnement aux événements Redshift doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Redshift.13 | Les instantanés du cluster Redshift doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Redshift.14 | Les groupes de sous-réseaux du cluster Redshift doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Redshift.15 | Les groupes de sécurité Redshift doivent autoriser l'entrée sur le port du cluster uniquement à partir d'origines restreintes | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | Périodique | |
| Redshift.16 | Les groupes de sous-réseaux du cluster Redshift doivent comporter des sous-réseaux provenant de plusieurs zones de disponibilité | NIST SP 800-53 Rév. 5 | MOYEN | Changement déclenché | |
| Redshift.17 | Les groupes de paramètres du cluster Redshift doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| RedshiftServerless1. | Les groupes de travail Amazon Redshift Serverless doivent utiliser un routage VPC amélioré | AWS Bonnes pratiques de sécurité fondamentales | ÉLEVÉ | Périodique | |
| RedshiftServerless2. | Les connexions aux groupes de travail Redshift Serverless doivent être requises pour utiliser le protocole SSL | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | Périodique | |
| RedshiftServerless3. | Les groupes de travail Redshift Serverless devraient interdire l'accès public | AWS Bonnes pratiques de sécurité fondamentales | ÉLEVÉ | Périodique | |
| RedshiftServerless4. | Les espaces de noms Redshift Serverless doivent être chiffrés et gérés par le client AWS KMS keys | NIST SP 800-53 Rév. 5 | MOYEN | Périodique | |
| RedshiftServerless5. | Les espaces de noms Redshift Serverless ne doivent pas utiliser le nom d'utilisateur d'administrateur par défaut | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | Périodique | |
| RedshiftServerless6. | Les espaces de noms Redshift Serverless doivent exporter les journaux vers Logs CloudWatch | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | Périodique | |
| RedshiftServerless7. | Les espaces de noms Redshift Serverless ne doivent pas utiliser le nom de base de données par défaut | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | Périodique | |
| Itinéraire 53.1 | Les bilans de santé de la Route 53 doivent être étiquetés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Itinéraire 53.2 | Les zones hébergées publiques de Route 53 doivent enregistrer les requêtes DNS | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| S3.1 | Les paramètres de blocage de l'accès public aux compartiments S3 à usage général doivent être activés | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, meilleures pratiques de sécurité AWS fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | MOYEN | Périodique | |
| S3.2 | Les compartiments S3 à usage général devraient bloquer l'accès public à la lecture | AWS Bonnes pratiques de sécurité fondamentales, norme de gestion des services :, PCI DSS AWS Control Tower v3.2.1, NIST SP 800-53 Rev. 5 | CRITIQUE | Changement déclenché et périodique | |
| S3.3 | Les compartiments S3 à usage général devraient bloquer l'accès public en écriture | AWS Bonnes pratiques de sécurité fondamentales, norme de gestion des services :, PCI DSS AWS Control Tower v3.2.1, NIST SP 800-53 Rev. 5 | CRITIQUE | Changement déclenché et périodique | |
| S3.5 | Les compartiments S3 à usage général devraient nécessiter des demandes d'utilisation du protocole SSL | CIS AWS Foundations Benchmark v3.0.0, CIS AWS AWS Foundations Benchmark v1.4.0, meilleures pratiques de sécurité de base, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | MOYEN | Changement déclenché | |
| S3.6 | Les politiques générales relatives aux compartiments S3 devraient restreindre l'accès à d'autres Comptes AWS | AWS Bonnes pratiques de sécurité fondamentales, norme de gestion des services :, NIST SP 800-53 Rev. 5 AWS Control Tower, NIST SP 800-171 Rev. 2 | ÉLEVÉ | Changement déclenché | |
| S3.7 | Les compartiments S3 à usage général doivent utiliser la réplication entre régions | PCI DSS v3.2.1, NIST SP 800-53 Rév. 5 | BAS | Changement déclenché | |
| S3.8 | Les compartiments S3 à usage général devraient bloquer l'accès public | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, Meilleures pratiques de sécurité AWS fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | ÉLEVÉ | Changement déclenché | |
| S3.9 | La journalisation des accès au serveur doit être activée dans les compartiments S3 à usage général | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | MOYEN | Changement déclenché | |
| S3.10 | Les compartiments S3 à usage général dont la gestion des versions est activée doivent avoir des configurations de cycle de vie | NIST SP 800-53 Rév. 5 | MOYEN | Changement déclenché | |
| S3.11 | Les notifications d'événements doivent être activées dans les compartiments S3 à usage général | NIST SP 800-53 rév. 5, NIST SP 800-171 rév. 2 | MOYEN | Changement déclenché | |
| S3.12 | ACLs ne doit pas être utilisé pour gérer l'accès des utilisateurs aux compartiments S3 à usage général | AWS Meilleures pratiques de sécurité fondamentales, norme de gestion des services : AWS Control Tower, NIST SP 800-53 Rev. 5 | MOYEN | Changement déclenché | |
| S3.13 | Les compartiments S3 à usage général doivent avoir des configurations de cycle de vie | AWS Meilleures pratiques de sécurité fondamentales, norme de gestion des services : AWS Control Tower, NIST SP 800-53 Rev. 5 | BAS | Changement déclenché | |
| S3,14 | La gestion des versions des compartiments S3 à usage général doit être activée | NIST SP 800-53 rév. 5, NIST SP 800-171 rév. 2 | BAS | Changement déclenché | |
| S3,15 | Object Lock doit être activé dans les compartiments S3 à usage général | NIST SP 800-53 Rév. 5, PCI DSS v4.0.1 | MOYEN | Changement déclenché | |
| S3.17 | Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys | NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | MOYEN | Changement déclenché | |
| S3,19 | Les paramètres de blocage de l'accès public doivent être activés sur les points d'accès S3 | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | CRITIQUE | Changement déclenché | |
| S3,20 | La suppression MFA doit être activée dans les compartiments S3 à usage général | Benchmark CIS AWS Foundations v3.0.0, CIS AWS Foundations Benchmark v1.4.0, NIST SP 800-53 Rev. 5 | BAS | Changement déclenché | |
| S3,22 | Les compartiments S3 à usage général doivent enregistrer les événements d'écriture au niveau de l'objet | Benchmark CIS AWS Foundations v3.0.0, PCI DSS v4.0.1 | MOYEN | Périodique | |
| S3,23 | Les compartiments S3 à usage général doivent enregistrer les événements de lecture au niveau de l'objet | Benchmark CIS AWS Foundations v3.0.0, PCI DSS v4.0.1 | MOYEN | Périodique | |
| S3,24 | Les paramètres de blocage de l'accès public aux points d'accès multirégionaux S3 doivent être activés | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | ÉLEVÉ | Changement déclenché | |
| SageMaker1. | Les instances Amazon SageMaker Notebook ne doivent pas avoir d'accès direct à Internet | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | ÉLEVÉ | |
Périodique |
| SageMaker2. | SageMaker les instances de bloc-notes doivent être lancées dans un VPC personnalisé | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | ÉLEVÉ | |
Changement déclenché |
| SageMaker3. | Les utilisateurs ne doivent pas avoir d'accès root aux instances de SageMaker bloc-notes | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | ÉLEVÉ | |
Changement déclenché |
| SageMaker4. | SageMaker le nombre d'instances initial des variantes de production des terminaux doit être supérieur à 1 | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | Périodique | |
| SageMaker5. | SageMaker les modèles devraient bloquer le trafic entrant | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | Changement déclenché | |
| SageMaker6. | SageMaker les configurations d'image de l'application doivent être balisées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| SageMaker7. | SageMaker les images doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| SageMaker8. | SageMaker les instances de bloc-notes doivent fonctionner sur les plateformes prises en charge | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | Périodique | |
| SecretsManager1. | La rotation automatique des secrets des secrets du Gestionnaire de secrets doit être activée | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | MOYEN | |
Changement déclenché |
| SecretsManager2. | Les secrets de Secrets Manager configurés avec une rotation automatique doivent être correctement pivotés | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | MOYEN | |
Changement déclenché |
| SecretsManager3. | Supprimer les secrets inutilisés de Secrets Manager | AWS Meilleures pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, norme de gestion des services : AWS Control Tower | MOYEN | |
Périodique |
| SecretsManager4. | Les secrets de Secrets Manager doivent faire l'objet d'une rotation dans un délai spécifié | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | MOYEN | |
Périodique |
| SecretsManager5. | Les secrets de Secrets Manager doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| ServiceCatalog1. | Les portefeuilles Service Catalog ne doivent être partagés qu'au sein d'une AWS organisation | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | ÉLEVÉ | Périodique | |
| SES.1 | Les listes de contacts SES doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| VOIR. 2 | Les ensembles de configuration SES doivent être étiquetés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| SNS.1 | Les sujets SNS doivent être chiffrés au repos à l'aide de AWS KMS | NIST SP 800-53 rév. 5, NIST SP 800-171 rév. 2 | MOYEN | Changement déclenché | |
| SNS.3 | Les sujets SNS doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| SNS.4 | Les politiques d'accès aux rubriques SNS ne doivent pas autoriser l'accès public | AWS Bonnes pratiques de sécurité fondamentales | ÉLEVÉ | Changement déclenché | |
| SQS.1 | Les files d'attente Amazon SQS doivent être chiffrées au repos | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| SQ. 2 | Les files d'attente SQS doivent être balisées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| SQS.3 | Les politiques d'accès aux files d'attente SQS ne doivent pas autoriser l'accès public | AWS Bonnes pratiques de sécurité fondamentales | ÉLEVÉ | Changement déclenché | |
| SSM.1 | EC2 les instances doivent être gérées par AWS Systems Manager | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, PCI DSS v3.2.1 AWS Control Tower, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| SSM.2 | EC2 les instances gérées par Systems Manager doivent avoir un statut de conformité aux correctifs de COMPLIANT après l'installation d'un correctif | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2, PCI DSS v3.2.1, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | ÉLEVÉ | |
Changement déclenché |
| SSM.3 | EC2 les instances gérées par Systems Manager doivent avoir le statut de conformité des associations COMPLIANT | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v3.2.1, PCI DSS v4.0.1, norme de gestion des services : AWS Control Tower | BAS | |
Changement déclenché |
| SSM.4 | Les documents du SSM ne doivent pas être publics | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | CRITIQUE | |
Périodique |
| SSM.5 | Les documents SSM doivent être étiquetés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| StepFunctions1. | Step Functions : la journalisation doit être activée sur les machines d'état | AWS Bonnes pratiques de sécurité de base, PCI DSS v4.0.1 | MOYEN | |
Changement déclenché |
| StepFunctions2. | Les activités de Step Functions doivent être étiquetées | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Transfer.1 | Les flux de travail de Transfer Family doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Transfer.2 | Les serveurs Transfer Family ne doivent pas utiliser le protocole FTP pour la connexion des terminaux | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | Périodique | |
| Transfer.3 | La journalisation des connecteurs Transfer Family doit être activée | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5 | MOYEN | Changement déclenché | |
| Transfer.4 | Les accords Transfer Family devraient être étiquetés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Transfer.5 | Les certificats Transfer Family doivent être étiquetés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Transfer.6 | Les connecteurs Transfer Family doivent être étiquetés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| Transfer.7 | Les profils Transfer Family doivent être balisés | AWS Norme de balisage des ressources | BAS | Changement déclenché | |
| WAF.1 | AWS La journalisation ACL du WAF Classic Global Web doit être activée | AWS Bonnes pratiques de sécurité fondamentales, NIST SP 800-53 Rev. 5, PCI DSS v4.0.1 | MOYEN | |
Périodique |
| WAF.2 | AWS Les règles régionales du WAF Classic doivent comporter au moins une condition | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| WAF.3 | AWS Les groupes de règles régionaux WAF Classic doivent avoir au moins une règle | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| WAF.4 | AWS Le site Web régional WAF Classic ACLs doit avoir au moins une règle ou un groupe de règles | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| WAF.6 | AWS Les règles globales du WAF Classic doivent comporter au moins une condition | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| WAF.7 | AWS Les groupes de règles globaux WAF Classic doivent avoir au moins une règle | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| WAF.8 | AWS Le Web mondial WAF Classic ACLs doit avoir au moins une règle ou un groupe de règles | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5 | MOYEN | |
Changement déclenché |
| WAF.10 | AWS Le Web WAF ACLs doit avoir au moins une règle ou un groupe de règles | AWS Meilleures pratiques de sécurité fondamentales v1.0.0, norme de gestion des services :, NIST SP 800-53 Rev. AWS Control Tower 5 | MOYEN | |
Changement déclenché |
| WAF.11 | AWS La journalisation des ACL Web WAF doit être activée | NIST SP 800-53 Rév. 5, PCI DSS v4.0.1 | BAS | |
Périodique |
| WAF.12 | AWS Les règles WAF doivent avoir les CloudWatch métriques activées | AWS Bonnes pratiques de sécurité fondamentales v1.0.0, NIST SP 800-53 Rev. 5, NIST SP 800-171 Rev. 2 | MOYEN | |
Changement déclenché |
| WorkSpaces1. | WorkSpaces les volumes utilisateur doivent être chiffrés au repos | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | Changement déclenché | |
| WorkSpaces2. | WorkSpaces les volumes racines doivent être chiffrés au repos | AWS Bonnes pratiques de sécurité fondamentales | MOYEN | Changement déclenché |
