Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Playbooks
Cette solution inclut les correctifs relatifs aux normes de sécurité définies dans le cadre du Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0, CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v3.0.0, AWS Foundational Security Best Practices (FSBP) v.1.0.0,Payment Card Industry Data Security Standard (PCI-DSS) v3.2.1 et National Institute ofStandards and Technology (NIST).
Si vous avez activé les résultats des contrôles consolidés, ces contrôles sont pris en charge dans toutes les normes. Si cette fonctionnalité est activée, seul le playbook SC doit être déployé. Si ce n'est pas le cas, les playbooks sont compatibles avec les normes répertoriées précédemment.
Important
Déployez uniquement les playbooks correspondant aux normes activées afin d'éviter d'atteindre les quotas de service.
Pour plus de détails sur une correction spécifique, reportez-vous au document d'automatisation de Systems Manager portant le nom déployé par la solution dans votre compte. Accédez à la console AWS Systems Manager
| Description | AWS FSBP | CIS v1.2.0 | PCI v3.2.1 | CIS v1.4.0 | NIST | CIS v3.0.0 | ID de contrôle de sécurité |
|---|---|---|---|---|---|---|---|
|
Nombre total de mesures correctives |
63 |
34 |
29 |
33 |
65 |
19 |
90 |
|
ASR- EnableAutoScalingGroup ELBHealth Vérifier Les groupes Auto Scaling associés à un équilibreur de charge doivent utiliser des contrôles de santé de l'équilibreur de charge |
Mise à l'échelle automatique.1 |
Mise à l'échelle automatique.1 |
Mise à l'échelle automatique.1 |
Mise à l'échelle automatique.1 |
|||
|
ASR- CreateMultiRegionTrail CloudTrail doit être activé et configuré avec au moins un parcours multirégional |
CloudTrail1. |
2.1 |
CloudTrail2. |
3.1 |
CloudTrail1. |
3.1 |
CloudTrail1. |
|
ASR- EnableEncryption CloudTrail le chiffrement au repos doit être activé |
CloudTrail2. |
2.7 |
CloudTrail1. |
3.7 |
CloudTrail2. |
3,5 |
CloudTrail2. |
|
ASR- EnableLogFileValidation Assurez-vous que la validation du fichier CloudTrail journal est activée |
CloudTrail4. |
2.2 |
CloudTrail3. |
3.2 |
CloudTrail4. |
CloudTrail4. |
|
|
ASR- EnableCloudTrailToCloudWatchLogging Assurez-vous que les CloudTrail sentiers sont intégrés à Amazon CloudWatch Logs |
CloudTrail5. |
2,4 |
CloudTrail4. |
3.4 |
CloudTrail5. |
CloudTrail5. |
|
|
ASR - Configure 3 BucketLogging Assurez-vous que la journalisation des accès au compartiment S3 est activée sur le compartiment CloudTrail S3 |
2.6 |
3.6 |
3.4 |
CloudTrail7. |
|||
|
ASR- ReplaceCodeBuildClearTextCredentials CodeBuild les variables d'environnement du projet ne doivent pas contenir d'informations d'identification en texte clair |
CodeBuild2. |
CodeBuild2. |
CodeBuild2. |
CodeBuild2. |
|||
|
Activation ASR AWSConfig Assurez-vous qu'AWS Config est activé |
Config.1 |
2,5 |
Config.1 |
3,5 |
Config.1 |
3.3 |
Config.1 |
|
ASR-Make Private EBSSnapshots Les instantanés Amazon EBS ne doivent pas être restaurables publiquement |
EC21. |
EC21. |
EC21. |
EC21. |
|||
|
ASR-Supprimer VPCDefault SecurityGroupRules Le groupe de sécurité VPC par défaut doit interdire le trafic entrant et sortant |
EC22. |
4.3 |
EC22. |
5.3 |
EC22. |
5.4 |
EC22. |
|
Journaux compatibles avec l'ASR VPCFlow La journalisation des flux VPC doit être activée dans tous VPCs |
EC26. |
2.9 |
EC26. |
3.9 |
EC26. |
3.7 |
EC26. |
|
ASR- EnableEbsEncryptionByDefault Le chiffrement par défaut EBS doit être activé |
EC27. |
2.2.1 |
EC27. |
2.2.1 |
EC27. |
||
|
ASR- RevokeUnrotatedKeys Les clés d'accès des utilisateurs doivent être renouvelées tous les 90 jours ou moins |
IAM.3 |
1.4 |
1.14 |
IAM.3 |
1.14 |
IAM.3 |
|
|
Politique IAMPassword ASR-Set Politique de mot de passe par défaut d'IAM |
IAM.7 |
1,5-1,11 |
IAM.8 |
1.8 |
IAM.7 |
1.8 |
IAM.7 |
|
RevokeUnusedIAMUserACCRÉDITATIONS ASR Les informations d'identification de l'utilisateur doivent être désactivées si elles ne sont pas utilisées dans les 90 jours |
IAM.8 |
1.3 |
IAM.7 |
IAM.8 |
IAM.8 |
||
|
RevokeUnusedIAMUserACCRÉDITATIONS ASR Les informations d'identification de l'utilisateur doivent être désactivées si elles ne sont pas utilisées dans les 45 jours. |
1.12 |
1.12 |
IAM.22 |
||||
|
ASR- RemoveLambdaPublicAccess Les fonctions Lambda devraient interdire l'accès public |
Lambda.1 |
Lambda.1 |
Lambda.1 |
Lambda.1 |
|||
|
ASR-Make Private RDSSnapshot Les instantanés RDS doivent interdire l'accès public |
RDS.1 |
RDS.1 |
RDS.1 |
RDS.1 |
|||
|
ASR- DisablePublicAccessTo RDSInstance Les instances de base de données RDS doivent interdire l'accès public |
RDS.2 |
RDS.2 |
RDS.2 |
2.3.3 |
RDS.2 |
||
|
Cryptage ASR RDSSnapshot Les instantanés du cluster RDS et les instantanés de base de données doivent être chiffrés au repos |
RDS.4 |
RDS.4 |
RDS.4 |
||||
|
ASR- EnableMulti AZOn RDSInstance Les instances de base de données RDS doivent être configurées avec plusieurs zones de disponibilité |
RDS.5 |
RDS.5 |
RDS.5 |
||||
|
ASR- EnableEnhancedMonitoringOn RDSInstance Une surveillance améliorée doit être configurée pour les instances et les clusters de base de données RDS |
RDS.6 |
RDS.6 |
RDS.6 |
||||
|
Activation ASR RDSCluster DeletionProtection La protection contre la suppression des clusters RDS doit être activée |
RDS.7 |
RDS.7 |
RDS.7 |
||||
|
Activation ASR RDSInstance DeletionProtection La protection contre la suppression des instances de base de données RDS doit être activée |
RDS.8 |
RDS.8 |
RDS.8 |
||||
|
ASR- EnableMinorVersionUpgradeOn RDSDBInstance Les mises à niveau automatiques des versions mineures de RDS doivent être activées |
RDS.13 |
RDS.13 |
2.3.2 |
RDS.13 |
|||
|
ASR- EnableCopyTagsToSnapshotOn RDSCluster Les clusters de base de données RDS doivent être configurés pour copier des balises dans des instantanés |
RDS.16 |
RDS.16 |
RDS.16 |
||||
|
ASR- DisablePublicAccessToRedshiftCluster Les clusters Amazon Redshift devraient interdire l'accès public |
Redshift.1 |
Redshift.1 |
Redshift.1 |
Redshift.1 |
|||
|
ASR- EnableAutomaticSnapshotsOnRedshiftCluster Les snapshots automatiques doivent être activés sur les clusters Amazon Redshift |
Redshift.3 |
Redshift.3 |
Redshift.3 |
||||
|
ASR- EnableRedshiftClusterAuditLogging La journalisation des audits doit être activée sur les clusters Amazon Redshift |
Redshift.4 |
Redshift.4 |
Redshift.4 |
||||
|
ASR- EnableAutomaticVersionUpgradeOnRedshiftCluster Amazon Redshift devrait activer les mises à niveau automatiques vers les versions majeures |
Redshift.6 |
Redshift.6 |
Redshift.6 |
||||
|
ASR - Configure 3 PublicAccessBlock Le paramètre S3 Block Public Access doit être activé |
S3.1 |
2.3 |
S3.6 |
2.1.5.1 |
S3.1 |
2.1.4 |
S3.1 |
|
ASR - Configure 3 BucketPublicAccessBlock Les compartiments S3 devraient interdire l'accès public à la lecture |
S3.2 |
S3.2 |
2.1.5.2 |
S3.2 |
S3.2 |
||
|
ASR - Configure 3 BucketPublicAccessBlock Les compartiments S3 devraient interdire l'accès public en écriture |
S3.3 |
S3.3 |
|||||
|
ASR-S EnableDefaultEncryption 3 Le chiffrement côté serveur doit être activé dans les compartiments S3 |
S3.4 |
S3.4 |
2.1.1 |
S3.4 |
S3.4 |
||
|
Politique SSLBucket ASR-Set Les compartiments S3 doivent nécessiter des demandes d'utilisation du protocole SSL |
S3.5 |
S3.5 |
2.1.2 |
S3.5 |
2.1.1 |
S3.5 |
|
|
ASR-S3 BlockDenylist Les autorisations Amazon S3 accordées à d'autres comptes AWS dans les politiques relatives aux compartiments doivent être limitées |
S3.6 |
S3.6 |
S3.6 |
||||
|
Le paramètre S3 Block Public Access doit être activé au niveau du bucket |
S3.8 |
S3.8 |
S3.8 |
||||
|
ASR - Configure 3 BucketPublicAccessBlock Assurez-vous que les CloudTrail logs du compartiment S3 ne sont pas accessibles au public |
2.3 |
CloudTrail6. |
|||||
|
ASR- CreateAccessLoggingBucket Assurez-vous que la journalisation des accès au compartiment S3 est activée sur le compartiment CloudTrail S3 |
2.6 |
CloudTrail7. |
|||||
|
ASR- EnableKeyRotation Assurez-vous que la rotation pour les applications créées par le client CMKs est activée |
2,8 |
KMS.1 |
3.8 |
KMS.4 |
3.6 |
KMS.4 |
|
|
ASR- CreateLogMetricFilterAndAlarm Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les appels d'API non autorisés |
3.1 |
4.1 |
Cloudwatch 1 |
||||
|
ASR- CreateLogMetricFilterAndAlarm Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour la connexion à AWS Management Console sans MFA |
3.2 |
4.2 |
Cloudwatch 2 |
||||
|
ASR- CreateLogMetricFilterAndAlarm Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour l'utilisation de l'utilisateur « root » |
3.3 |
CW.1 |
4.3 |
Cloudwatch 3 |
|||
|
ASR- CreateLogMetricFilterAndAlarm Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications de politique IAM |
3.4 |
4,4 |
Cloudwatch 4 |
||||
|
ASR- CreateLogMetricFilterAndAlarm Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour les modifications CloudTrail de configuration |
3,5 |
4,5 |
Cloudwatch 5 |
||||
|
ASR- CreateLogMetricFilterAndAlarm Assurez-vous qu'un journal, un filtre métrique et une alarme existent en cas d'échec de l'authentification de l'AWS Management Console |
3.6 |
4.6 |
Cloudwatch 6 |
||||
|
ASR- CreateLogMetricFilterAndAlarm Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour la désactivation ou la suppression planifiée des fichiers créés par le client CMKs |
3.7 |
4,7 |
Cloudwatch.7 |
||||
|
ASR- CreateLogMetricFilterAndAlarm Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications de politique de compartiment S3 |
3.8 |
4.8 |
Cloudwatch.8 |
||||
|
ASR- CreateLogMetricFilterAndAlarm Assurez-vous qu'un journal, un filtre métrique et une alarme existent pour les modifications de configuration d'AWS Config |
3.9 |
4,9 |
Cloudwatch.9 |
||||
|
ASR- CreateLogMetricFilterAndAlarm Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications des groupes de sécurité |
3,10 |
4,10 |
Cloudwatch.10 |
||||
|
ASR- CreateLogMetricFilterAndAlarm Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications des listes de contrôle d'accès réseau (ACL réseau) |
3,11 |
4,11 |
Cloudwatch.11 |
||||
|
ASR- CreateLogMetricFilterAndAlarm Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications des passerelles réseau |
3,12 |
4,12 |
Cloudwatch.12 |
||||
|
ASR- CreateLogMetricFilterAndAlarm Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications des tables de routage |
3.13 |
4,13 |
Cloudwatch.13 |
||||
|
ASR- CreateLogMetricFilterAndAlarm Vérifier qu'il existe un filtre de métrique de journaux et une alarme pour les modifications VPC |
3,14 |
4,14 |
Cloudwatch.14 |
||||
|
AWS- DisablePublicAccessForSecurityGroup Assurez-vous qu'aucun groupe de sécurité n'autorise l'entrée entre 0.0.0.0/0 et le port 22 |
4.1 |
EC25. |
EC2.13 |
EC2.13 |
|||
|
AWS- DisablePublicAccessForSecurityGroup Assurez-vous qu'aucun groupe de sécurité n'autorise l'entrée entre 0.0.0.0/0 et le port 3389 |
4.2 |
EC2.14 |
EC2.14 |
||||
|
Configuration ASR SNSTopic ForStack |
CloudFormation1. |
CloudFormation1. |
CloudFormation1. |
||||
|
Rôle ASR-Create IAMSupport |
1,20 |
1,17 |
1,17 |
IAM.18 |
|||
|
ASR- DisablePublic IPAuto Attribuer EC2 Les sous-réseaux Amazon ne doivent pas attribuer automatiquement d'adresses IP publiques |
EC2.15 |
EC2.15 |
EC2.15 |
||||
|
ASR- EnableCloudTrailLogFileValidation |
CloudTrail4. |
2.2 |
CloudTrail3. |
3.2 |
CloudTrail4. |
||
|
ASR- EnableEncryptionFor SNSTopic |
SNS.1 |
SNS.1 |
SNS.1 |
||||
|
ASR- EnableDeliveryStatusLoggingFor SNSTopic L'enregistrement de l'état de livraison doit être activé pour les messages de notification envoyés à un sujet |
SNS.2 |
SNS.2 |
SNS.2 |
||||
|
ASR- EnableEncryptionFor SQSQueue |
SQS.1 |
SQS.1 |
SQS.1 |
||||
|
L'instantané RDS RDSSnapshotprivé d'ASR-Make doit être privé |
RDS.1 |
RDS.1 |
RDS.1 |
||||
|
Bloc ASR SSMDocument PublicAccess Les documents SSM ne doivent pas être publics |
SSM.4 |
SSM.4 |
SSM.4 |
||||
|
ASR- EnableCloudFrontDefaultRootObject CloudFront les distributions doivent avoir un objet racine par défaut configuré |
CloudFront1. |
CloudFront1. |
CloudFront1. |
||||
|
ASR- SetCloudFrontOriginDomain CloudFront les distributions ne doivent pas pointer vers des origines S3 inexistantes |
CloudFront.12 |
CloudFront.12 |
CloudFront.12 |
||||
|
ASR- RemoveCodeBuildPrivilegedMode CodeBuild les environnements de projet doivent disposer d'une configuration AWS de journalisation |
CodeBuild5. |
CodeBuild5. |
CodeBuild5. |
||||
|
Instance ASR Terminer EC2 EC2 Les instances arrêtées doivent être supprimées après une période spécifiée |
EC24. |
EC24. |
EC24. |
||||
|
Activation ASR IMDSV2 OnInstance EC2 les instances doivent utiliser le service de métadonnées d'instance version 2 (IMDSv2) |
EC28. |
EC28. |
5.6 |
EC28. |
|||
|
ASR- RevokeUnauthorizedInboudRules Les groupes de sécurité ne doivent autoriser le trafic entrant illimité que pour les ports autorisés |
EC2.18 |
EC2.18 |
EC2.18 |
||||
|
INSÉREZ LE TITRE ICI Les groupes de sécurité ne doivent pas autoriser un accès illimité aux ports présentant un risque élevé |
EC2.19 |
EC2.19 |
EC2.19 |
||||
|
Désactiver l'ASR TGWAuto AcceptSharedAttachments Amazon EC2 Transit Gateways ne doit pas accepter automatiquement les demandes de pièces jointes VPC |
EC2.23 |
EC2.23 |
EC2.23 |
||||
|
ASR- EnablePrivateRepositoryScanning La numérisation des images doit être configurée dans les référentiels privés ECR |
ECR.1 |
ECR.1 |
ECR.1 |
||||
|
ASR- EnableGuardDuty GuardDuty doit être activé |
GuardDuty1. |
GuardDuty1. |
GuardDuty1. |
GuardDuty1. |
|||
|
ASR - Configure 3 BucketLogging La journalisation des accès au serveur de compartiments S3 doit être activée |
S3.9 |
S3.9 |
S3.9 |
||||
|
ASR- EnableBucketEventNotifications Les notifications d'événements doivent être activées dans les compartiments S3 |
S3.11 |
S3.11 |
S3.11 |
||||
|
Ensembles ASR 3 LifecyclePolicy Les politiques de cycle de vie des compartiments S3 doivent être configurées |
S3.13 |
S3.13 |
S3.13 |
||||
|
ASR- EnableAutoSecretRotation La rotation automatique des secrets des secrets du Gestionnaire de secrets doit être activée |
SecretsManager1. |
SecretsManager1. |
SecretsManager1. |
||||
|
ASR- RemoveUnusedSecret Supprimer les secrets inutilisés de Secrets Manager |
SecretsManager3. |
SecretsManager3. |
SecretsManager3. |
||||
|
ASR- UpdateSecretRotationPeriod Les secrets de Secrets Manager doivent être renouvelés dans un délai spécifié |
SecretsManager4. |
SecretsManager4. |
SecretsManager4. |
||||
|
Activation ASR APIGateway CacheDataEncryption Les données du cache de l'API REST API Gateway doivent être chiffrées au repos |
APIGateway5. |
APIGateway5. |
|||||
|
ASR- SetLogGroupRetentionDays CloudWatch les groupes de journaux doivent être conservés pendant une période spécifiée |
CloudWatch.16 |
CloudWatch.16 |
|||||
|
ASR- AttachService VPCEndpoint Amazon EC2 doit être configuré pour utiliser les points de terminaison VPC créés pour le service Amazon EC2 |
EC2.10 |
EC2.10 |
EC2.10 |
||||
|
ASR- TagGuardDutyResource GuardDuty les filtres doivent être étiquetés |
GuardDuty2. |
||||||
|
ASR- TagGuardDutyResource GuardDuty les détecteurs doivent être étiquetés |
GuardDuty4. |
||||||
|
ASR - Attacher SSMPermissions à EC2 EC2 Les instances Amazon doivent être gérées par Systems Manager |
SSM.1 |
SSM.3 |
SSM.1 |
||||
|
ASR- ConfigureLaunchConfigNoPublic IPDocument EC2 Les instances Amazon lancées à l'aide des configurations de lancement de groupe Auto Scaling ne doivent pas avoir d'adresse IP publique |
Autoscaling.5 |
Autoscaling.5 |
|||||
|
Activation ASR APIGateway ExecutionLogs |
APIGateway1. |
APIGateway1. |
|||||
|
ASR- EnableMacie Amazon Macie devrait être activé |
Macie.1 |
Macie.1 |
Macie.1 |
||||
|
ASR- EnableAthenaWorkGroupLogging La journalisation des groupes de travail Athena doit être activée |
Athéna.4 |
Athéna.4 |
