Recommandations de sécurité pour les ressources Amazon Web Services (AWS)
Cet article répertorie toutes les recommandations que vous pouvez voir dans Microsoft Defender pour le cloud si vous connectez un compte Amazon Web Services (AWS) à l’aide de la page paramètres de l’environnement. Les recommandations qui apparaissent dans votre environnement sont basées sur les ressources que vous protégez et sur votre configuration personnalisée.
Pour en savoir plus sur les actions que vous pouvez effectuer en réponse à ces recommandations, consultez Correction des recommandations dans Defender pour le cloud.
Votre score de sécurité est basé sur le nombre de recommandations de sécurité que vous avez effectuées. Pour déterminer les recommandations à résoudre en premier, examinez la gravité de chaque recommandation et son effet potentiel sur votre score sécurisé.
Recommandations de calcul AWS
Les instances Amazon EC2 managées par Systems Manager doivent avoir l’état de conformité des correctifs COMPLIANT après l’installation d’un correctif
Description : ce contrôle case activée si l’état de conformité de la conformité des correctifs Amazon EC2 Systems Manager est CONFORME ou NON_COMPLIANT après l’installation du correctif sur l’instance. Il n’case activée s instances gérées par AWS Systems Manager Patch Manager. Elle n’case activée pas si le correctif a été appliqué dans la limite de 30 jours prescrite par l’exigence PCI DSS « 6.2 ». Il ne valide pas non plus si les correctifs appliqués ont été classés comme correctifs de sécurité. Vous devez créer des groupes de correctifs avec les paramètres de base appropriés et vérifier que les systèmes de l’étendue sont gérés par ces groupes de correctifs dans Systems Manager. Pour plus d’informations sur les groupes de correctifs, consultez aws Systems Manager User Guide.
Gravité : moyenne
Amazon EFS doit être configuré pour chiffrer les données de fichier au repos à l’aide d’AWS KMS
Description : ce contrôle case activée si Amazon Elastic File System est configuré pour chiffrer les données de fichier à l’aide d’AWS KMS. La case activée échoue dans les cas suivants : * » Encrypted » a la valeur « false » dans la réponse DescribeFileSystems. La clé « KmsKeyId » dans la réponse DescribeFileSystems ne correspond pas au paramètre KmsKeyId pour efs-encrypted-case activée. Notez que ce contrôle n’utilise pas le paramètre « KmsKeyId » pour efs-encrypted-case activée. Il vérifie uniquement la valeur de « Encrypted ». Pour obtenir une couche de sécurité supplémentaire pour vos données sensibles dans Amazon EFS, vous devez créer des systèmes de fichiers chiffrés. Amazon EFS prend en charge le chiffrement des systèmes de fichiers au repos. Vous pouvez activer le chiffrement des données au repos lorsque vous créez un système de fichiers Amazon EFS. Pour en savoir plus sur le chiffrement Amazon EFS, consultez Chiffrement de données dans Amazon EFS dans le guide de l’utilisateur d’Amazon Elastic File System.
Gravité : moyenne
Les volumes Amazon EFS doivent se trouver dans des plans de sauvegarde
Description : ce contrôle case activée si les systèmes de fichiers Amazon Elastic File System (Amazon EFS) sont ajoutés aux plans de sauvegarde dans AWS Backup. Le contrôle échoue si les systèmes de fichiers Amazon EFS ne sont pas inclus dans les plans de sauvegarde. L’inclusion des systèmes de fichiers EFS dans les plans de sauvegarde vous permet de protéger vos données contre la suppression et la perte de données.
Gravité : moyenne
La protection contre la suppression d’Application Load Balancer doit être activée
Description : ce contrôle case activée si une protection contre la suppression d’application est activée. Le contrôle échoue si la protection de suppression n’est pas configurée. Activez la protection contre la suppression pour empêcher la suppression de votre Application Load Balancer.
Gravité : moyenne
Les groupes Auto Scaling associés à un équilibreur de charge doivent utiliser des vérifications d’intégrité
Description : Les groupes de mise à l’échelle automatique associés à un équilibreur de charge utilisent des case activée d’intégrité d’équilibrage de charge élastique. PCI DSS ne nécessite pas d’équilibrage de charge ou de configurations hautement disponibles. Ceci est recommandé par les meilleures pratiques d’AWS.
Gravité : faible
L’approvisionnement automatique d’Azure Arc doit être activé pour les comptes AWS
Description : Pour une visibilité complète du contenu de sécurité de Microsoft Defender pour les serveurs, les instances EC2 doivent être connectées à Azure Arc. Pour vous assurer que toutes les instances EC2 éligibles reçoivent automatiquement Azure Arc, activez le provisionnement automatique de Defender pour le cloud au niveau du compte AWS. En savoir plus sur Azure Arc et Microsoft Defender pour les serveurs.
Gravité : élevée
Les distributions CloudFront doivent avoir un basculement d’origin configuré
Description : ce contrôle case activée si une distribution Amazon CloudFront est configurée avec un groupe d’origines ayant deux origines ou plus. Le basculement d’origin CloudFront peut augmenter la disponibilité. Le basculement d’origin redirige automatiquement le trafic vers une origin secondaire si l’origin principale n’est pas disponible ou si elle renvoie des codes d’état de réponse HTTP spécifiques.
Gravité : moyenne
Les URL de référentiel source CodeBuild GitHub ou Bitbucket doivent utiliser OAuth
Description : ce contrôle case activée si l’URL du référentiel source GitHub ou Bitbucket contient des jetons d’accès personnels ou un nom d’utilisateur et un mot de passe. Les informations d’identification ne doivent jamais être stockées ni transmises en texte clair ni apparaître dans l’URL du référentiel. Au lieu de jetons d’accès personnels ou d’un nom d’utilisateur et d’un mot de passe, vous devriez utiliser OAuth pour accorder l’autorisation d’accéder aux référentiels GitHub ou Bitbucket. L’utilisation de jetons d’accès personnels ou d’un nom d’utilisateur et d’un mot de passe peut conduire à une exposition involontaire de vos informations d’identification et à un accès non autorisé.
Gravité : élevée
Les variables d’environnement de projet CodeBuild ne doivent pas contenir d’informations d’identification
Description : ce contrôle case activée si le projet contient les variables AWS_ACCESS_KEY_ID d’environnement et AWS_SECRET_ACCESS_KEY.
Les informations d’authentification AWS_ACCESS_KEY_ID et AWS_SECRET_ACCESS_KEY ne doivent jamais être stockées en texte clair, car cela pourrait entraîner une exposition involontaire des données et un accès non autorisé.
Gravité : élevée
Les clusters DynamoDB Accelerator (DAX) doivent être chiffrés au repos
Description : ce contrôle case activée si un cluster DAX est chiffré au repos. Le chiffrement des données au repos réduit le risque d’accès aux données stockées sur le disque par un utilisateur non authentifié auprès d’AWS. Le chiffrement ajoute un autre ensemble de contrôles d’accès pour limiter la capacité des utilisateurs non autorisés à accéder aux données. Par exemple, des autorisations d’API sont nécessaires pour déchiffrer les données avant de pouvoir les lire.
Gravité : moyenne
Les tables DynamoDB doivent automatiquement mettre à l’échelle la capacité selon la demande
Description : ce contrôle case activée si une table Amazon DynamoDB peut mettre à l’échelle sa capacité de lecture et d’écriture en fonction des besoins. Ce contrôle réussit si la table utilise le mode de capacité à la demande ou le mode d’approvisionnement avec mise à l’échelle automatique configuré. La mise à l’échelle de la capacité en fonction de la demande évite les exceptions de limitation, ce qui permet de maintenir la disponibilité de vos applications.
Gravité : moyenne
Les instances EC2 doivent être connectées à Azure Arc
Description : Connecter vos instances EC2 vers Azure Arc afin d’avoir une visibilité complète sur le contenu de sécurité de Microsoft Defender pour serveurs. En savoir plus sur Azure Arc et sur Microsoft Defender pour les serveurs dans un environnement de cloud hybride.
Gravité : élevée
Les instances EC2 doivent être gérées par AWS Systems Manager
Description : L’état de la conformité des correctifs Amazon EC2 Systems Manager est « CONFORME » ou « NON_COMPLIANT » après l’installation du correctif sur l’instance. Seules les instances gérées par AWS Systems Manager Patch Manager sont case activée ed. Les correctifs appliqués dans la limite de 30 jours prescrites par l’exigence PCI DSS « 6 » ne sont pas case activée ed.
Gravité : moyenne
Les problèmes de configuration d'EDR doivent être résolus sur les EC2
Description : Pour protéger les machines virtuelles contre les dernières menaces et vulnérabilités, résolvez tous les problèmes de configuration identifiés avec la solution de détection et de réponse de point de terminaison installée (PEPT).
Remarque : actuellement, cette recommandation s'applique uniquement aux ressources avec Microsoft Defender for Endpoint (MDE) activé.
Gravité : élevée
La solution EDR doit être installée sur les EC2
Description : Pour protéger ec2s, installez une solution de détection et de réponse de point de terminaison (PEPT). Les EDR aident à prévenir, détecter, examiner et répondre aux menaces avancées. Utilisez Microsoft Defender pour serveurs pour déployer Microsoft Defender for Endpoint. Si la ressource est classée comme « Non saine », elle n’a pas de solution de PEPT prise en charge installée. Si vous avez installé une solution EDR qui n'est pas détectable par cette recommandation, vous pouvez l'exempter.
Gravité : élevée
Les instances gérées par Systems Manager doivent avoir l’état de conformité de l’association COMPLIANT
Description : ce contrôle case activée si l’état de la conformité de l’association AWS Systems Manager est CONFORME ou NON_COMPLIANT une fois l’association exécutée sur une instance. Le contrôle réussit si l’état de conformité de l’association est COMPLIANT. Une association State Manager est une configuration qui est assignée à vos instances gérées. La configuration définit l’état que vous voulez conserver sur vos instances. Par exemple, une association peut spécifier qu’un logiciel antivirus doit être installé et exécuté sur vos instances, ou que certains ports doivent être fermés. Une fois que vous avez créé une ou plusieurs associations State Manager, les informations relatives à l’état de conformité sont immédiatement disponibles dans la console ou en réponse aux commandes CLI AWS ou aux opérations correspondantes de l’API System Manager. Pour les associations, la conformité « Configuration » affiche les états de conformité ou non conformes et le niveau de gravité attribué à l’association, tel que Critique ou Moyen. Pour en savoir plus sur la conformité de l’association State Manager, consultez About State Manager association compliance in the AWS Systems Manager User Guide. Vous devez configurer vos instances EC2 dans l’étendue pour l’association Systems Manager. Vous devez également configurer la base de référence des correctifs pour l’évaluation de sécurité du fournisseur de correctifs et définir la date d’application automatique pour répondre à la condition PCI DSS 3.2.1 6.2. Pour plus d’informations sur la création d’une association, consultez Créer une association dans le Guide utilisateur AWS Systems Manager. Pour plus d’informations sur l’utilisation des correctifs dans Systems Manager, consultez AWS Systems Manager Patch Manager dans le Guide de l’utilisateur AWS Systems Manager.
Gravité : faible
Une file d’attente de lettres mortes doit être configurée pour les fonctions Lambda
Description : ce contrôle case activée si une fonction Lambda est configurée avec une file d’attente de lettres mortes. Le contrôle échoue si la fonction Lambda n’est pas configurée avec une file d’attente de lettres mortes. En guise d’alternative à une destination en cas d’échec, vous pouvez configurer votre fonction avec une file d’attente de lettres mortes pour sauvegarder les événements ignorés en vue d’un traitement ultérieur. Une file d’attente de lettres mortes agit de la même manière qu’une destination en cas d’échec. Elle est utilisée lorsqu’un événement échoue à toutes les tentatives de traitement ou expire sans avoir été traité. Une file d’attente de lettres mortes vous permet de revenir sur les erreurs ou les requêtes adressées à votre fonction Lambda ayant échoué pour déboguer ou identifier un comportement inhabituel. Du point de vue de la sécurité, il est important de comprendre la raison pour laquelle votre fonction a échoué et de vous assurer que votre fonction ne supprime pas de données ni ne compromet la sécurité des données en conséquence. Par exemple, si votre fonction ne peut pas communiquer avec une ressource sous-jacente, cela peut être le symptôme d’une attaque par déni de service (DoS) ailleurs sur le réseau.
Gravité : moyenne
Les fonctions Lambda doivent utiliser les runtimes pris en charge
Description : ce contrôle case activée que les paramètres de fonction Lambda pour les runtimes correspondent aux valeurs attendues définies pour les runtimes pris en charge pour chaque langage. Ce contrôle case activée pour les runtimes suivants : nodejs14.x, nodejs12.x, nodejs10.x, python3.8, python3.7, python3.6, ruby2.7, ruby2.5, java11, java8, java8, java8.al2, go1.x, dotnetcore3.1, dotnetcore2.1, runtimes lambda dotnetcore2.1 sont construits autour d’une combinaison de systèmes d’exploitation, de langage de programmation et de bibliothèques logicielles soumises à des mises à jour de maintenance et de sécurité. Lorsqu’un composant du runtime n’est plus pris en charge par les mises à jour de sécurité, Lambda déprécie le runtime. Même si vous ne pouvez pas créer de fonctions qui utilisent le runtime déconseillé, la fonction est toujours disponible pour traiter les événements d’appel. Assurez-vous que vos fonctions Lambda sont actuelles et n’utilisent pas d’environnements runtime obsolètes. Pour en savoir plus sur les runtimes pris en charge pour lesquels ce contrôle vérifie les langages pris en charge, consultez Environnements d’exécution (runtimes) Lambda dans le guide du développeur d’AWS Lambda.
Gravité : moyenne
Les ports de gestion des instances EC2 doivent être protégés par un contrôle d’accès réseau juste-à-temps
Description : Microsoft Defender pour le cloud identifié certaines règles de trafic entrant excessivement permissives pour les ports de gestion de votre réseau. Activez le contrôle d’accès juste-à-temps pour protéger vos instances contre les attaques par force brute provenant d’Internet. Plus d’informations
Gravité : élevée
Les groupes de sécurité EC2 non utilisés doivent être supprimés
Description : Les groupes de sécurité doivent être attachés à des instances Amazon EC2 ou à un enI. La recherche saine peut indiquer qu’il existe des groupes de sécurité Amazon EC2 inutilisés.
Gravité : faible
Recommandations de conteneur AWS
[Préversion] Les images conteneur dans AWS Registry doivent avoir des résultats de vulnérabilité résolus
Description : Defender pour le cloud analyse vos images de Registre pour détecter les vulnérabilités connues (CVE) et fournit des résultats détaillés pour chaque image analysée. L’analyse et la correction des vulnérabilités pour les images conteneur dans le Registre permettent de maintenir une chaîne d’approvisionnement logicielle sécurisée et fiable, réduit le risque d’incidents de sécurité et garantit la conformité aux normes du secteur.
Gravité : élevée
Type : Évaluation des vulnérabilités
[Préversion] Les conteneurs s’exécutant dans AWS doivent avoir des résultats de vulnérabilité résolus
Description : Defender pour le cloud crée un inventaire de toutes les charges de travail de conteneur en cours d’exécution dans vos clusters Kubernetes et fournit des rapports de vulnérabilité pour ces charges de travail en correspondant aux images utilisées et aux rapports de vulnérabilité créés pour les images de Registre. L’analyse et la correction des vulnérabilités des charges de travail de conteneur sont essentielles pour garantir une chaîne d’approvisionnement logicielle robuste et sécurisée, réduire le risque d’incidents de sécurité et garantir la conformité aux normes du secteur.
Gravité : élevée
Type : Évaluation des vulnérabilités
Les clusters EKS doivent accorder les autorisations AWS requises à Microsoft Defender pour le cloud
Description : Microsoft Defender pour conteneurs fournit des protections pour vos clusters EKS. Pour surveiller votre cluster afin de détecter les menaces et les failles de sécurité, Defender pour les conteneurs a besoin d’autorisations pour votre compte AWS. Ces autorisations sont utilisées pour activer la journalisation du plan de contrôle Kubernetes sur votre cluster et établir un pipeline fiable entre votre cluster et le back-end de Defender pour le cloud dans le cloud. En savoir plus sur les fonctionnalités de sécurité de Microsoft Defender pour le cloud pour les environnements conteneurisés.
Gravité : élevée
L’extension Microsoft Defender pour Azure Arc doit être installée sur les clusters EKS
Description : l’extension de cluster de Microsoft Defender fournit des fonctionnalités de sécurité pour vos clusters EKS. L’extension collecte les données d’un cluster et de ses nœuds afin d’identifier les menaces et les failles de sécurité. L’extension fonctionne avec Kubernetes avec Azure Arc. En savoir plus sur les fonctionnalités de sécurité de Microsoft Defender pour le cloud pour les environnements conteneurisés.
Gravité : élevée
Microsoft Defender pour les conteneurs doit être activé sur les connecteurs AWS
Description : Microsoft Defender pour conteneurs fournit une protection contre les menaces en temps réel pour les environnements conteneurisés et génère des alertes sur les activités suspectes. Utilisez ces informations pour renforcer la sécurité des clusters Kubernetes et corriger les problèmes de sécurité.
Important : lorsque vous avez activé Microsoft Defender pour conteneurs et déployé Azure Arc sur vos clusters EKS, les protections et les frais commenceront. Si vous ne déployez pas Azure Arc sur un cluster, Defender pour conteneurs ne le protège pas et aucun frais n’est facturé pour ce plan Microsoft Defender pour ce cluster.
Gravité : élevée
Recommandations relatives au plan de données
Toutes les recommandations de sécurité du plan de données Kubernetes sont prises en charge pour AWS après avoir activé Azure Policy pour Kubernetes.
Recommandations relatives aux données AWS
Le retour sur trace doit être activé pour les clusters Amazon Aurora
Description : ce contrôle case activée si les clusters Amazon Aurora ont activé le retour arrière. Les sauvegardes vous aident à récupérer plus rapidement à la suite d’un incident de sécurité. Elles renforcent également la résilience de vos systèmes. Le retour sur trace d’Aurora réduit le temps nécessaire à la récupération d’une base de données à un instant dans le passé. Cela ne nécessite pas de restauration de base de données. Pour plus d’informations sur le retour sur trace dans Aurora, consultez Retour sur trace d’un cluster de base de données Aurora dans le guide de l’utilisateur d’Amazon Aurora.
Gravité : moyenne
Les instantanés Amazon EBS ne doivent pas pouvoir être restaurés publiquement
Description : Les instantané Amazon EBS ne doivent pas être restaurés publiquement par tous, sauf autorisation explicite, pour éviter une exposition accidentelle des données. En outre, l’autorisation de modifier les configurations Amazon EBS doit être limitée aux seuls comptes AWS autorisés.
Gravité : élevée
Les définitions de tâche Amazon ECS doivent avoir des modes de mise en réseau et des définitions utilisateur sécurisés
Description : ce contrôle case activée si une définition de tâche Amazon ECS active qui a le mode de mise en réseau hôte a également des définitions de conteneur d’utilisateurs ou privilégiées. Le contrôle échoue pour les définitions de tâche qui ont un mode réseau hôte et des définitions de conteneur où privileged=false ou est vide et user=root ou est vide. Si une définition de tâche a des privilèges élevés, c’est parce que le client a spécifiquement choisi cette configuration. Ce contrôle case activée pour l’escalade inattendue des privilèges lorsqu’une définition de tâche a activé la mise en réseau hôte, mais que le client n’a pas choisi d’élever les privilèges.
Gravité : élevée
Les domaines Amazon Elasticsearch Service doivent chiffrer les données envoyées entre les nœuds
Description : ce contrôle case activée si les domaines Amazon ES ont activé le chiffrement de nœud à nœud. Le protocole HTTPS (TLS) peut être utilisé pour empêcher les attaquants potentiels d’espionner ou de manipuler le trafic au moyen d’attaques de l’intercepteur ou d’autres attaques similaires. Seules les connexions chiffrées via HTTPS (TLS) doivent être autorisées. L’activation du chiffrement nœud à nœud pour les domaines Amazon ES garantit que les communications intraclusters sont chiffrées en transit. Cette configuration peut avoir un impact négatif sur les performances. Vous devez être conscient du compromis de performance et le tester avant d’activer cette option.
Gravité : moyenne
Le chiffrement au repos doit être activé sur les domaines Amazon Elasticsearch Service
Description : Il est important d’activer les chiffrements au reste des domaines Amazon ES pour protéger les données sensibles
Gravité : moyenne
La base de données Amazon RDS doit être chiffrée à l’aide d’une clé gérée par le client
Description : Cette case activée identifie les bases de données RDS chiffrées avec des clés KMS par défaut et non avec des clés gérées par le client. En tant que pratique de référence, utilisez des clés gérées par le client pour chiffrer les données de vos bases de données RDS et garder le contrôle de vos clés et données sur les charges de travail sensibles.
Gravité : moyenne
L’instance Amazon RDS doit être configurée avec les paramètres de sauvegarde automatique
Description : cette case activée identifie les instances RDS, qui ne sont pas définies avec le paramètre de sauvegarde automatique. Si la sauvegarde automatique est définie, RDS crée un instantané de volume de stockage de votre instance de base de données, en sauvegardant l’intégralité de l’instance de base de données et pas seulement les bases de données individuelles, qui permettent une récupération à un instant dans le temps. La sauvegarde automatique se produit pendant la durée de la fenêtre de sauvegarde spécifiée et conserve les sauvegardes pendant une période limitée telle que définie dans la période de rétention. Il est recommandé de définir des sauvegardes automatiques pour vos serveurs RDS critiques qui aident dans le processus de restauration des données.
Gravité : moyenne
La journalisation d’audit doit être activée sur les clusters Amazon Redshift
Description : ce contrôle case activée si un cluster Amazon Redshift a activé la journalisation d’audit. La journalisation d’audit Amazon Redshift fournit des informations supplémentaires sur les connexions et les activités des utilisateurs dans votre cluster. Ces données peuvent être stockées et sécurisées dans Amazon S3 et peuvent être utiles dans des audits et des enquêtes de sécurité. Pour plus d’informations, consultez Journalisation des audits de base de données dans le guide de la gestion du cluster d’Amazon Redshift.
Gravité : moyenne
Les instantanés automatiques doivent être activés sur les clusters Amazon Redshift
Description : ce contrôle case activée si les clusters Amazon Redshift ont des instantané automatisées activées. Il vérifie également si la période de rétention des instantanés est supérieure ou égale à sept. Les sauvegardes vous aident à récupérer plus rapidement à la suite d’un incident de sécurité. Elles renforcent la résilience de vos systèmes. Amazon Redshift prend des instantanés périodiques par défaut. Ce contrôle vérifie si les instantanés automatiques sont activés et conservés pendant au moins sept jours. Pour plus d’informations sur les instantané automatisées Amazon Redshift, consultez les instantané automatisées dans le Guide de gestion des clusters Amazon Redshift.
Gravité : moyenne
Les clusters Amazon Redshift doivent interdire l’accès public
Description : Nous vous recommandons d’éviter l’accessibilité publique des clusters Amazon Redshift en évaluant le champ « publicAccessible » dans l’élément de configuration du cluster.
Gravité : élevée
Les mises à niveau automatiques vers les versions principales doivent être activées sur Amazon Redshift
Description : ce contrôle case activée si les mises à niveau automatiques des versions principales sont activées pour le cluster Amazon Redshift. L’activation des mises à niveau automatiques vers les versions principales garantit que les mises à jour de version principale les plus récentes des clusters Amazon Redshift sont installées pendant la fenêtre de maintenance. Ces mises à jour peuvent inclure des correctifs de sécurité et des correctifs de bogues. Rester à jour dans l’installation des correctifs est une étape importante de la sécurisation des systèmes.
Gravité : moyenne
Les files d’attente Amazon SQS doivent être chiffrées au repos
Description : ce contrôle case activée si les files d’attente Amazon SQS sont chiffrées au repos. Le chiffrement côté serveur vous permet de transmettre des données sensibles dans des files d’attente chiffrées. Pour protéger le contenu des messages dans les files d’attente, le chiffrement côté serveur utilise des clés gérées dans AWS KMS. Pour plus d’informations, consultez Chiffrement au repos dans le guide du développeur d’Amazon Simple Queue Service.
Gravité : moyenne
Un abonnement aux notifications d’événements RDS doit être configuré pour les événements de cluster critiques
Description : ce contrôle case activée s’il existe un abonnement à un événement Amazon RDS pour lequel les notifications sont activées pour le type source suivant, les paires clé-valeur de catégorie d’événement. DBCluster : [« maintenance » et « échec »]. Les notifications d’événements RDS utilisent Amazon SNS pour vous tenir informé des modifications apportées à la disponibilité ou à la configuration de vos ressources RDS. Ces notifications permettent de réagir rapidement. Pour plus d’informations sur les notifications d’événements RDS, consultez Utilisation de la notification d’évènement Amazon RDS dans le Guide de l’utilisateur d’Amazon RDS.
Gravité : faible
Un abonnement aux notifications d’événements RDS doit être configuré pour les événements d’instance de base de données critiques
Description : ce contrôle case activée si un abonnement à un événement Amazon RDS existe avec des notifications activées pour le type de source suivant. paires clé-valeur de catégorie d’événement. DBInstance : [« maintenance », « modification de la configuration » et « échec »]. Les notifications d’événements RDS utilisent Amazon SNS pour vous tenir informé des modifications apportées à la disponibilité ou à la configuration de vos ressources RDS. Ces notifications permettent de réagir rapidement. Pour plus d’informations sur les notifications d’événements RDS, consultez Utilisation de la notification d’évènement Amazon RDS dans le Guide de l’utilisateur d’Amazon RDS.
Gravité : faible
Un abonnement aux notifications d’événements RDS doit être configuré pour les événements de groupe de paramètres de base de données critiques
Description : ce contrôle case activée si un abonnement à un événement Amazon RDS existe avec des notifications activées pour le type de source suivant. paires clé-valeur de catégorie d’événement. DBParameterGroup : [« configuration », « modification »]. Les notifications d’événements RDS utilisent Amazon SNS pour vous tenir informé des modifications apportées à la disponibilité ou à la configuration de vos ressources RDS. Ces notifications permettent de réagir rapidement. Pour plus d’informations sur les notifications d’événements RDS, consultez Utilisation de la notification d’évènement Amazon RDS dans le Guide de l’utilisateur d’Amazon RDS.
Gravité : faible
Un abonnement aux notifications d’événements RDS doit être configuré pour les événements du groupe de sécurité de base de données critiques
Description : ce contrôle case activée si un abonnement à un événement Amazon RDS existe avec des notifications activées pour le type de source suivant, paires clé-valeur de catégorie d’événement. DBSecurityGroup : ["configuration »,"change »,"failure"]. Les notifications d’événements RDS utilisent Amazon SNS pour vous tenir informé des modifications apportées à la disponibilité ou à la configuration de vos ressources RDS. Ces notifications permettent de réagir rapidement. Pour plus d’informations sur les notifications d’événements RDS, consultez Utilisation de la notification d’évènement Amazon RDS dans le Guide de l’utilisateur d’Amazon RDS.
Gravité : faible
La journalisation des API REST et WebSocket d’API Gateway doit être activée
Description : ce contrôle case activée si toutes les étapes d’une API REST Amazon API Gateway ou de l’API WebSocket ont été activées. Le contrôle échoue si la journalisation n’est pas activée pour toutes les méthodes d’une étape ou si le niveau de journalisation n’est ni ERROR ni INFO. Les journaux pertinents doivent être activés pour les étapes de l’API REST ou WebSocket d’API Gateway. La journalisation de l’exécution des API REST et WebSocket d’API Gateway fournit des enregistrements détaillés des demandes effectuées aux étapes des API REST et WebSocket d’API Gateway. Les étapes comprennent les réponses du serveur principal d’intégration d’API, les réponses de l’agent d’autorisation Lambda et le requestId pour les points de terminaison d’intégration AWS.
Gravité : moyenne
Les données du cache de l’API REST d’API Gateway doivent être chiffrées au repos
Description : ce contrôle case activée si toutes les méthodes des étapes de l’API REST de passerelle API activées sont chiffrées. Le contrôle échoue si l’une des méthodes d’une étape de l’API REST d’API Gateway est configurée pour être mise en cache et que le cache n’est pas chiffré. Le chiffrement des données au repos réduit le risque d’accès aux données stockées sur le disque par un utilisateur non authentifié auprès d’AWS. Il ajoute un autre ensemble de contrôles d’accès pour limiter la capacité des utilisateurs non autorisés à accéder aux données. Par exemple, des autorisations d’API sont nécessaires pour déchiffrer les données avant de pouvoir les lire. Les caches de l’API REST d’API Gateway doivent être chiffrés au repos pour une couche de sécurité supplémentaire.
Gravité : moyenne
Les étapes de l’API REST d’API Gateway doivent être configurées pour utiliser des certificats SSL pour l’authentification du serveur principal
Description : ce contrôle case activée si les étapes de l’API REST Amazon API Gateway ont des certificats SSL configurés. Les systèmes principaux utilisent ces certificats pour authentifier que les demandes entrantes proviennent d’API Gateway. Les étapes de l’API REST d’API Gateway doivent être configurées avec des certificats SSL pour permettre aux systèmes principaux d’authentifier que les demandes proviennent d’API Gateway.
Gravité : moyenne
Le suivi AWS X-Ray doit être activé pour les étapes de l’API REST d’API Gateway
Description : ce contrôle case activée si le suivi actif AWS X-Ray est activé pour les étapes de votre API REST Amazon API Gateway. Le suivi actif X-Ray permet de réagir plus rapidement aux changements de niveau de performance dans l’infrastructure sous-jacente. Les changements de niveau de performance peuvent entraîner un manque de disponibilité de l’API. Le suivi actif X-Ray fournit des métriques en temps réel concernant les demandes des utilisateurs qui passent par les opérations de l’API REST d’API Gateway et les services connectés.
Gravité : faible
API Gateway doit être associé à une liste de contrôle d’accès web AWS WAF
Description : ce contrôle case activée si une étape de passerelle API utilise une liste de contrôle d’accès web (ACL) AWS WAF. Ce contrôle échoue si une ACL web AWS WAF n’est pas attachée à une étape d’API REST d’API Gateway. AWS WAF est un pare-feu d’applications web qui permet de protéger les applications web et les API contre les attaques. Il vous permet de configurer une ACL, c’est-à-dire un ensemble de règles qui autorisent, bloquent ou dénombrent les requêtes web en fonction de règles et de conditions de sécurité web personnalisables que vous définissez. Assurez-vous que votre étape d’API Gateway est associée à une ACL web AWS WAF pour la protéger contre les attaques malveillantes.
Gravité : moyenne
La journalisation des Application Load Balancers et des Classic Load Balancers doit être activée
Description : ce contrôle case activée si l’équilibreur de charge d’application et l’équilibreur de charge classique ont activé la journalisation. Le contrôle échoue si access_logs.s3.enabled la valeur est false.
L’équilibrage de charge élastique fournit des journaux d’accès qui capturent des informations détaillées sur les demandes envoyées à votre équilibreur de charge. Chaque journal contient des informations telles que l’heure à laquelle la demande a été reçue, l’adresse IP du client, les latences, les chemins des demandes et les réponses du serveur. Vous pouvez utiliser ces journaux d’accès pour analyser les modèles de trafic et résoudre les problèmes.
Pour plus d’informations, consultez Journaux d’accès pour votre Classic Load Balancer dans le guide de l’utilisateur pour équilibreurs de charge classiques.
Gravité : moyenne
Les volumes EBS attachés doivent être chiffrés au repos
Description : ce contrôle case activée si les volumes EBS dans un état attaché sont chiffrés. Pour réussir cette vérification, les volumes EBS doivent être en cours d’utilisation et chiffrés. Si le volume EBS n’est pas attaché, il n’est pas soumis à cette vérification. Pour ajouter une couche supplémentaire de sécurité sur vos données sensibles dans les volumes EBS, vous devez activer le chiffrement EBS au repos. Le chiffrement Amazon EBS offre une solution de chiffrement simple pour vos ressources EBS qui ne nécessite pas la création, la maintenance et la sécurisation de votre propre infrastructure de gestion des clés. Il utilise les clés principales client (CMK) d’AWS KMS lors de la création de volumes et d’instantanés chiffrés. Pour en savoir plus sur le chiffrement Amazon EBS, consultez la page Chiffrement Amazon EBS dans le guide de l’utilisateur d’Amazon EC2 pour les instances Linux.
Gravité : moyenne
Les instances de réplication AWS Database Migration Service ne doivent pas être publiques
Description : Pour protéger vos instances répliquées contre les menaces. Une instance de réplication privée doit avoir une adresse IP privée à laquelle vous ne pouvez pas accéder en dehors du réseau de réplication. Une instance de réplication doit avoir une adresse IP privée lorsque les bases de données source et cible se trouvent sur le même réseau, et que le réseau est connecté au VPC de l’instance de réplication à l’aide d’un VPN, d’AWS Direct Connect ou d’un Peering VPC. Vous devez également vous assurer que l’accès à votre configuration d’instance AWS DMS est limité aux seuls utilisateurs autorisés. Pour ce faire, limitez les autorisations IAM des utilisateurs pour modifier les paramètres et les ressources AWS DMS.
Gravité : élevée
Les écouteurs de Classic Load Balancer doivent être configurés avec la terminaison HTTPS ou TLS
Description : ce contrôle case activée si vos écouteurs d’équilibreur de charge classiques sont configurés avec le protocole HTTPS ou TLS pour les connexions frontales (client à équilibreur de charge). Le contrôle s’applique si un Classic Load Balancer a des écouteurs. Si votre Classic Load Balancer n’a pas d’écouteur configuré, le contrôle ne signale aucun résultat. Le contrôle réussit si les écouteurs de Classic Load Balancer sont configurés avec TLS ou HTTPS pour les connexions frontales. Le contrôle échoue si l’écouteur n’est pas configuré avec TLS ou HTTPS pour les connexions frontales. Avant de commencer à utiliser un équilibreur de charge, vous devez ajouter un ou plusieurs écouteurs. Un écouteur est un processus qui utilise le protocole et le port configurés pour vérifier les demandes de connexion. Les écouteurs peuvent prendre en charge les protocoles HTTP et HTTPS/TLS. Vous devez toujours utiliser un écouteur HTTPS ou TLS afin que l’équilibreur de charge effectue le travail de chiffrement et de déchiffrement en transit.
Gravité : moyenne
Le drainage de connexion doit être activé pour les Classic Load Balancers
Description : ce contrôle case activée si les équilibreurs de charge classiques ont activé le drainage de connexion. L’activation du drainage de connexion sur les équilibreurs de charge classiques garantit que l’équilibreur de charge cesse d’envoyer des requêtes à des instances qui annulent l’inscription ou ne sont pas saines. Il maintient les connexions existantes ouvertes. Cela s’avère utile pour les instances de groupes Mise à l'échelle automatique afin de s’assurer que les connexions ne sont pas interrompues brusquement.
Gravité : moyenne
AWS WAF doit être activé pour les distributions CloudFront
Description : ce contrôle case activée si les distributions CloudFront sont associées aux listes de contrôle d’accès web AWS WAF ou AWS WAFv2. Le contrôle échoue si la distribution n’est pas associée à une ACL web. AWS WAF est un pare-feu d’applications web qui permet de protéger les applications web et les API contre les attaques. Il vous permet de configurer un ensemble de règles, appelé liste de contrôle d’accès web (ACL web), qui autorisent, bloquent ou dénombrent les requêtes web en fonction des règles et des conditions de sécurité web personnalisables que vous définissez. Assurez-vous que votre distribution CloudFront est associée à une ACL web AWS WAF pour contribuer à la protéger contre les attaques malveillantes.
Gravité : moyenne
La journalisation doit être activée pour les distributions CloudFront
Description : ce contrôle case activée si la journalisation de l’accès au serveur est activée sur les distributions CloudFront. Le contrôle échoue si la journalisation des accès n’est pas activée pour une distribution. Les journaux d’accès CloudFront fournissent des informations détaillées sur chaque demande d’utilisateur reçue par CloudFront. Chaque journal contient des informations telles que la date et l’heure de réception de la demande, l’adresse IP du visiteur qui a effectué la demande, la source de la demande et le numéro de port de la demande du visiteur. Ces journaux sont utiles pour des applications telles que les audits de sécurité et d’accès et les enquêtes de forensique. Pour plus d’informations sur l’analyse des journaux d’accès, consultez Interroger les journaux Amazon CloudFront dans le Guide de l’utilisateur AmazonThéna.
Gravité : moyenne
Les distributions CloudFront doivent exiger le chiffrement en transit
Description : ce contrôle case activée si une distribution Amazon CloudFront exige que les visionneuses utilisent le protocole HTTPS directement ou s’il utilise la redirection. Le contrôle échoue si ViewerProtocolPolicy est défini sur allow-all pour defaultCacheBehavior ou pour cacheBehaviors. Le protocole HTTPS (TLS) peut être utilisé pour empêcher les attaquants potentiels d’utiliser des attaques de l’intercepteur ou d’autres attaques similaires pour espionner ou manipuler le trafic. Seules les connexions chiffrées via HTTPS (TLS) doivent être autorisées. Le chiffrement des données en transit peut avoir un impact sur le niveau de performance. Vous devez tester votre application avec cette fonctionnalité pour comprendre le profil de performance et l’impact du protocole TLS.
Gravité : moyenne
Les journaux CloudTrail doivent être chiffrés au repos à l’aide des clés gérées par le client KMS
Description : Nous vous recommandons de configurer CloudTrail pour utiliser SSE-KMS. La configuration de CloudTrail pour utiliser SSE-KMS fournit davantage de contrôles de confidentialité sur les données de journal, car un utilisateur donné doit disposer de l’autorisation de lecture S3 sur le compartiment de journal correspondant et doit recevoir l’autorisation de déchiffrement de la stratégie CMK.
Gravité : moyenne
Les connexions aux clusters Amazon Redshift doivent être chiffrées en transit
Description : ce contrôle case activée si les connexions aux clusters Amazon Redshift sont requises pour utiliser le chiffrement en transit. La case activée échoue si le paramètre de cluster Amazon Redshift require_SSL n’est pas défini sur 1. Le protocole TLS peut être utilisé pour empêcher les attaquants potentiels d’utiliser des attaques de l’intercepteur ou d’autres attaques similaires pour espionner ou manipuler le trafic. Seules les connexions chiffrées via TLS doivent être autorisées. Le chiffrement des données en transit peut avoir un impact sur le niveau de performance. Vous devez tester votre application avec cette fonctionnalité pour comprendre le profil de performance et l’impact du protocole TLS.
Gravité : moyenne
Les connexions aux domaines Elasticsearch doivent être chiffrées à l’aide de TLS 1.2
Description : ce contrôle case activée si les connexions aux domaines Elasticsearch sont requises pour utiliser TLS 1.2. La vérification échoue si le domaine Elasticsearch TLSSecurityPolicy n’est pas Policy-Min-TLS-1-2-2019-07. Le protocole HTTPS (TLS) peut être utilisé pour empêcher les attaquants potentiels d’utiliser des attaques de l’intercepteur ou d’autres attaques similaires pour espionner ou manipuler le trafic. Seules les connexions chiffrées via HTTPS (TLS) doivent être autorisées. Le chiffrement des données en transit peut avoir un impact sur le niveau de performance. Vous devez tester votre application avec cette fonctionnalité pour comprendre le profil de performance et l’impact du protocole TLS. TLS 1.2 offre plusieurs améliorations en matière de sécurité par rapport aux versions précédentes de TLS.
Gravité : moyenne
La restauration à un instant dans le passé doit être activée pour les tables DynamoDB
Description : ce contrôle case activée si la récupération à un point dans le temps (PITR) est activée pour une table Amazon DynamoDB. Les sauvegardes vous aident à récupérer plus rapidement à la suite d’un incident de sécurité. Elles renforcent également la résilience de vos systèmes. La restauration à un instant dans le passé de DynamoDB automatise les sauvegardes des tables DynamoDB. Elle réduit le temps de récupération après des opérations de suppression ou d’écriture accidentelles. Les tables DynamoDB pour lesquelles la restauration à un instant dans le passé est activée peuvent être restaurées à n’importe quel moment au cours des 35 derniers jours.
Gravité : moyenne
Le chiffrement par défaut EBS doit être activé
Description : ce contrôle case activée si le chiffrement au niveau du compte est activé par défaut pour Amazon Elastic Block Store (Amazon EBS). Le contrôle échoue si le chiffrement au niveau du compte n’est pas activé. Lorsque le chiffrement est activé pour votre compte, les volumes Amazon EBS et les copies d’instantanés sont chiffrés au repos. Cela ajoute une autre couche de protection pour vos données. Pour plus d’informations, consultez Chiffrement par défaut dans le guide de l’utilisateur d’Amazon EC2 pour les instances Linux. Notez que les types d’instance suivants ne prennent pas en charge le chiffrement : R1, C1 et M1.
Gravité : moyenne
Les rapports d’intégrité améliorés doivent être activés pour les environnements Elastic Beanstalk
Description : ce contrôle case activée si le rapport d’intégrité amélioré est activé pour vos environnements AWS Elastic Beanstalk. Les rapports d’intégrité améliorés d’Elastic Beanstalk permettent de réagir plus rapidement aux changements de l’intégrité de l’infrastructure sous-jacente. Ces changements peuvent entraîner un manque de disponibilité de l’application. Le rapport d’intégrité amélioré d’Elastic Beanstalk fournit un descripteur d’état pour évaluer la gravité des problèmes identifiés et identifier les causes possibles à examiner. L’agent d’intégrité Elastic Beanstalk, inclus dans les images de machine Amazon (AMI) prises en charge, évalue les journaux et les métriques des instances EC2 de l’environnement.
Gravité : faible
Les mises à jour de la plateforme managée Elastic Beanstalk doivent être activées
Description : ce contrôle case activée si les mises à jour de plateforme managée sont activées pour l’environnement Elastic Beanstalk. L’activation des mises à jour de la plateforme managée garantit que les derniers correctifs, mises à jour et fonctionnalités de la plateforme disponibles pour l’environnement sont installés. Rester à jour dans l’installation des correctifs est une étape importante de la sécurisation des systèmes.
Gravité : élevée
Elastic Load Balancer ne doit pas avoir de certificat ACM expiré ou arrivant à expiration dans les 90 jours.
Description : cette case activée identifie les équilibreurs de charge élastiques (ELB) qui utilisent des certificats ACM expirés ou expirent dans 90 jours. AWS Certificate Manager (ACM) est l’outil préféré pour provisionner, gérer et déployer vos certificats de serveur. Avec ACM, vous pouvez demander un certificat ou déployer un certificat ACM ou externe existant sur des ressources AWS. En guise de meilleure pratique, il est recommandé de réimporter les certificats arrivant à expiration/arrivés à expiration tout en conservant les associations ELB du certificat d’origine.
Gravité : élevée
La journalisation des erreurs de domaine Elasticsearch doit être activée dans CloudWatch Logs
Description : ce contrôle case activée si les domaines Elasticsearch sont configurés pour envoyer des journaux d’erreurs à CloudWatch Logs. Vous devez activer les journaux d’erreurs pour les domaines Elasticsearch et envoyer ces journaux à CloudWatch Logs pour la rétention et la réponse. Les journaux d’erreurs de domaine peuvent faciliter les audits de sécurité et d’accès et peuvent aider à diagnostiquer les problèmes de disponibilité.
Gravité : moyenne
Les domaines Elasticsearch doivent être configurés avec au moins trois nœuds principaux dédiés
Description : ce contrôle case activée si les domaines Elasticsearch sont configurés avec au moins trois nœuds principaux dédiés. Ce contrôle échoue si le domaine n’utilise pas de nœuds principaux dédiés. Ce contrôle réussit si les domaines Elasticsearch ont cinq nœuds principaux dédiés. Toutefois, l’utilisation de plus de trois nœuds principaux peut s’avérer inutile pour atténuer le risque lié à la disponibilité et entraînera un coût supplémentaire. Un domaine Elasticsearch nécessite au moins trois nœuds principaux dédiés pour la haute disponibilité et la tolérance aux pannes. Les ressources de nœud principal dédié peuvent être mises à rude épreuve lors des déploiements bleus/verts des nœuds de données, car il faut gérer des nœuds supplémentaires. Le déploiement d’un domaine Elasticsearch avec au moins trois nœuds principaux dédiés garantit un capacité suffisante de ressources de nœud principal et le fonctionnement du cluster en cas de défaillance d’un nœud.
Gravité : moyenne
Les domaines Elasticsearch doivent comporter au moins trois nœuds de données
Description : ce contrôle case activée si les domaines Elasticsearch sont configurés avec au moins trois nœuds de données et zoneAwarenessEnabled est vrai. Un domaine Elasticsearch nécessite au moins trois nœuds de données pour la haute disponibilité et la tolérance aux pannes. Le déploiement d’un domaine Elasticsearch avec au moins trois nœuds de données garantit le fonctionnement du cluster en cas de défaillance d’un nœud.
Gravité : moyenne
La journalisation d’audit doit être activée pour les domaines Elasticsearch
Description : ce contrôle case activée si les domaines Elasticsearch ont activé la journalisation d’audit. Ce contrôle échoue si la journalisation d’audit n’est pas activée pour un domaine Elasticsearch. Les journaux d’audit sont hautement personnalisables. Ils vous permettent de suivre l’activité des utilisateurs sur vos clusters Elasticsearch, notamment les réussites et les échecs d’authentification, les demandes adressées à OpenSearch, les modifications d’index et les requêtes de recherche entrantes.
Gravité : moyenne
La supervision améliorée doit être configurée pour les clusters et les instances de base de données RDS
Description : ce contrôle case activée si la surveillance améliorée est activée pour vos instances de base de données RDS. Dans Amazon RDS, la surveillance améliorée permet une réponse plus rapide aux changements de niveau de performance dans l’infrastructure sous-jacente. Ces changements de niveau de performance peuvent entraîner un manque de disponibilité des données. La surveillance améliorée fournit des métriques en temps réel du système d’exploitation sur lequel s’exécute votre instance de base de données RDS. Un agent est installé sur l’instance. L’agent peut obtenir des métriques plus précisément que ce qui est possible à partir de la couche hyperviseur. Les métriques de surveillance améliorée sont utiles lorsque vous voulez voir la façon dont les différents processus ou threads d’une instance de base de données utilisent l’UC. Pour plus d’informations, consultez Surveillance améliorée dans le guide de l’utilisateur d’Amazon RDS.
Gravité : faible
Vérifier que la rotation des CMK créés par le client est activée
Description : AWS Service de gestion de clés (KMS) permet aux clients de faire pivoter la clé de stockage, qui est le matériau de clé stocké dans le service KMS lié à l’ID de clé de la clé principale créée par le client (CMK). Il s’agit de la clé de stockage utilisée pour effectuer des opérations de chiffrement, telles que le chiffrement et le déchiffrement. La rotation automatisée des clés conserve actuellement toutes les clés de stockage antérieures afin que le déchiffrement des données chiffrées puisse s’effectuer de manière transparente. Il est recommandé d’activer la rotation de clé CMK. La rotation des clés de chiffrement permet de réduire l’impact potentiel d’une clé compromise, car les données chiffrées avec une nouvelle clé ne sont pas accessibles avec une clé précédente qui a pu être exposée.
Gravité : moyenne
Vérifier que la journalisation des accès au compartiment S3 est activée sur le compartiment S3 CloudTrail
Description : la journalisation de l’accès au compartiment S3 génère un journal qui contient des enregistrements d’accès, vérifiez que la journalisation de l’accès au compartiment S3 S3 est activée sur le compartiment CloudTrail S3 pour chaque requête effectuée sur votre compartiment S3. Un enregistrement de journal d’accès contient des détails sur la demande, tels que le type de demande, les ressources spécifiées dans la demande effectuée et l’heure et la date de traitement de la demande. Il est recommandé d’activer la journalisation des accès au compartiment sur le compartiment S3 CloudTrail. En activant la journalisation de compartimentS S3 sur les compartiments S3 cibles, il est possible de capturer tous les événements, ce qui peut affecter les objets dans les compartiments cibles. La configuration des journaux pour qu’ils soient placés dans un compartiment distinct permet d’accéder aux informations des journaux, ce qui peut être utile dans les flux de travail de sécurité et de réponse aux incidents.
Gravité : faible
Vérifier que le compartiment S3 utilisé pour stocker les journaux CloudTrail n’est pas accessible publiquement
Description : CloudTrail enregistre un enregistrement de chaque appel d’API effectué dans votre compte AWS. Ces fichiers journaux sont stockés dans un compartiment S3. Il est recommandé que la stratégie de compartiment ou la liste de contrôle d’accès (ACL) soit appliquée au compartiment S3 que CloudTrail journalise pour empêcher l’accès public aux journaux CloudTrail. Autoriser l’accès public au contenu du journal CloudTrail peut aider un adversaire à identifier les faiblesses de l’utilisation ou de la configuration du compte concerné.
Gravité : élevée
IAM ne doit pas avoir expiré de certificats SSL/TLS
Description : cette case activée identifie les certificats SSL/TLS expirés. Pour activer les connexions HTTPS à votre site web ou à votre application dans AWS, vous avez besoin d’un certificat de serveur SSL/TLS. Vous pouvez utiliser ACM ou IAM pour stocker et déployer des certificats de serveur. La suppression des certificats SSL/TLS expirés élimine le risque qu’un certificat non valide soit déployé accidentellement sur une ressource telle qu’AWS Elastic Load Balancer (ELB), ce qui peut nuire à la crédibilité de l’application/du site web derrière l’ELB. Cette vérification génère des alertes s’il existe des certificats SSL/TLS expirés stockés dans AWS IAM. En guise de meilleure pratique, il est recommandé de supprimer les certificats expirés.
Gravité : élevée
Les certificats ACM importés doivent être renouvelés après un laps de temps spécifié
Description : ce contrôle case activée si les certificats ACM dans votre compte sont marqués pour expiration dans les 30 jours. Il vérifie à la fois les certificats importés et les certificats fournis par AWS Certificate Manager. ACM peut renouveler automatiquement les certificats qui utilisent la validation DNS. Pour les certificats qui utilisent la validation par e-mail, vous devez répondre à un e-mail de validation de domaine. ACM ne renouvelle pas non plus automatiquement les certificats que vous importez. Vous devez renouveler manuellement les certificats importés. Pour plus d’informations sur le renouvellement géré des certificats ACM, consultez Renouvellement géré des certificats ACM dans le guide de l’utilisateur d’AWS Certificate Manager.
Gravité : moyenne
Les identités surprovisionnées dans les comptes doivent être examinées pour réduire l’index d’analyse des autorisations (PCI)
Description : les identités surprovisionnée dans les comptes doivent être examinées pour réduire l’index pci (Permission Creep Index) et protéger votre infrastructure. Réduisez l’index PCI en supprimant les attributions d’autorisations à haut risque inutilisées. La norme PCI élevée reflète les risques associés aux identités disposant d’autorisations qui dépassent leur utilisation normale ou requise.
Gravité : moyenne
Les mises à niveau automatiques des versions mineures RDS doivent être activées
Description : ce contrôle case activée si les mises à niveau automatiques de versions mineures sont activées pour l’instance de base de données RDS. L’activation des mises à niveau automatiques des versions mineures garantit que les dernières mises à jour des versions mineures du système de gestion de base de données relationnelle (SGBDR) sont installées. Ces mises à niveau peuvent inclure des correctifs de sécurité et des correctifs de bogues. Rester à jour dans l’installation des correctifs est une étape importante de la sécurisation des systèmes.
Gravité : élevée
Les instantanés de cluster RDS et les instantanés de base de données doivent être chiffrés au repos
Description : ce contrôle case activée si les instantané de base de données RDS sont chiffrées. Ce contrôle est destiné aux instances de base de données RDS. Toutefois, il peut également générer des résultats pour les instantanés des instances de base de données Aurora, les instances de base de données Neptune et les clusters Amazon DocumentDB. Si ces résultats ne sont pas utiles, vous pouvez les supprimer. Le chiffrement des données au repos réduit le risque qu’un utilisateur non authentifié ait accès aux données stockées sur le disque. Les données des instantanés RDS doivent être chiffrées au repos pour une couche de sécurité supplémentaire.
Gravité : moyenne
La protection contre la suppression doit être activée pour les clusters RDS
Description : ce contrôle case activée si la protection contre la suppression des clusters RDS est activée. Ce contrôle est destiné aux instances de base de données RDS. Toutefois, il peut également générer des résultats pour les instances de base de données Aurora, les instances de base de données Neptune et les clusters Amazon DocumentDB. Si ces résultats ne sont pas utiles, vous pouvez les supprimer. L’activation de la protection contre la suppression de cluster est une autre couche de protection contre la suppression ou la suppression accidentelles d’une base de données par une entité non autorisée. Lorsque la protection contre la suppression est activée, un cluster RDS ne peut pas être supprimé. Pour qu’une demande de suppression aboutisse, la protection contre la suppression doit être désactivée.
Gravité : faible
Les clusters de base de données RDS doivent être configurés pour plusieurs zones de disponibilité
Description : les clusters de base de données RDS doivent être configurés pour plusieurs données stockées. Le déploiement sur plusieurs zones de disponibilité permet d’automatiser les zones de disponibilité afin de garantir la disponibilité du basculement en cas de problème de disponibilité de la zone de disponibilité et lors d’événements de maintenance réguliers de RDS.
Gravité : moyenne
Les clusters de base de données RDS doivent être configurés pour copier des balises vers des instantanés
Description : L’identification et l’inventaire de vos ressources informatiques constituent un aspect crucial de la gouvernance et de la sécurité. Vous devez avoir une visibilité de tous vos clusters de base de données RDS afin de pouvoir évaluer leur posture de sécurité et agir sur les éventuelles zones de faiblesse. Les instantanés doivent être marqués de la même façon que leurs clusters de base de données RDS parents. En activant ce paramètre, les instantanés héritent des balises de leurs clusters de bases de données parents.
Gravité : faible
Les instances de base de données RDS doivent être configurées pour copier des balises vers des instantanés
Description : ce contrôle case activée si les instances de base de données RDS sont configurées pour copier toutes les balises dans des instantané s lorsque les instantané sont créées. L’identification et l’inventaire de vos ressources informatiques constituent un aspect essentiel de la gouvernance et de la sécurité. Vous devez avoir une visibilité de toutes vos instances de base de données RDS afin de pouvoir évaluer leur posture de sécurité et agir sur les éventuelles zones de faiblesse. Les instantanés doivent être marqués de la même façon que leurs instances de base de données RDS parentes. En activant ce paramètre, les instantanés héritent des balises de leurs instances de bases de données parentes.
Gravité : faible
Les instances de base de données RDS doivent être configurées avec plusieurs zones de disponibilité
Description : ce contrôle case activée si la haute disponibilité est activée pour vos instances de base de données RDS. Les instances de base de données RDS doivent être configurées pour plusieurs zones de disponibilité. Cela garantit la disponibilité des données stockées. Les déploiements sur plusieurs zones de disponibilité permettent un basculement automatique en cas de problème de disponibilité de la zone de disponibilité et pendant la maintenance régulière de RDS.
Gravité : moyenne
La protection contre la suppression doit être activée pour les instances de base de données RDS
Description : ce contrôle case activée si vos instances de base de données RDS qui utilisent l’un des moteurs de base de données répertoriés ont la protection de suppression activée. L’activation de la protection contre la suppression d’instance est une autre couche de protection contre la suppression ou la suppression accidentelles d’une base de données par une entité non autorisée. Lorsque la protection contre la suppression est activée, une instance de base de données RDS ne peut pas être supprimée. Pour qu’une demande de suppression aboutisse, la protection contre la suppression doit être désactivée.
Gravité : faible
Le chiffrement au repos doit être activé sur les instances de base de données RDS
Description : ce contrôle case activée si le chiffrement de stockage est activé pour vos instances de base de données Amazon RDS. Ce contrôle est destiné aux instances de base de données RDS. Toutefois, il peut également générer des résultats pour les instances de base de données Aurora, les instances de base de données Neptune et les clusters Amazon DocumentDB. Si ces résultats ne sont pas utiles, vous pouvez les supprimer. Pour obtenir une couche supplémentaire de sécurité pour vos données sensibles dans les instances de base de données RDS, vous devez configurer vos instances de base de données RDS pour qu’elles soient chiffrées au repos. Pour chiffrer vos instantanés et instances de base de données RDS au repos, activez l’option de chiffrement pour vos instances de base de données RDS. Les données chiffrées au repos incluent le stockage sous-jacent des instances de base de données, ses sauvegardes automatiques, ses réplicas de lecture et ses instantanés. Les instances de base de données chiffrées RDS utilisent l’algorithme de chiffrement AES-256 standard ouvert pour chiffrer vos données sur le serveur qui héberge vos instances de base de données RDS. Une fois vos données chiffrées, Amazon RDS gère l’authentification de l’accès et le déchiffrement de vos données de façon transparente avec un impact minimal sur le niveau de performance. Vous n’avez pas besoin de modifier vos applications clientes de base de données pour utiliser le chiffrement. Le chiffrement d’Amazon RDS est actuellement disponible pour tous les moteurs de base de données et tous les types de stockage. Le chiffrement d’Amazon RDS est disponible pour la plupart des classes d’instance de base de données. Pour en savoir plus sur les classes d’instances de base de données qui ne prennent pas en charge le chiffrement Amazon RDS, consultez Chiffrement des ressources Amazon RDS dans le Guide de l’utilisateur d’Amazon RDS.
Gravité : moyenne
Les instances de base de données RDS doivent interdire l’accès public
Description : Nous vous recommandons également de vous assurer que l’accès à la configuration de votre instance RDS est limité uniquement aux utilisateurs autorisés, en limitant les autorisations IAM des utilisateurs pour modifier les paramètres et les ressources des instances RDS.
Gravité : élevée
Les instantanés RDS doivent interdire l’accès public
Description : Nous vous recommandons d’autoriser uniquement les principaux autorisés à accéder aux instantané et à modifier la configuration Amazon RDS.
Gravité : élevée
Supprimer les secrets inutilisés de Secrets Manager
Description : ce contrôle case activée si vos secrets ont été consultés dans un nombre spécifié de jours. La valeur par défaut est de 90 jours. Si un secret n’a pas été consulté dans le nombre de jours défini, ce contrôle échoue. La suppression des secrets inutilisés est aussi importante que la rotation des secrets. Les secrets inutilisés peuvent être utilisés abusivement par leurs anciens utilisateurs, qui n’ont plus besoin d’y accéder. En outre, lorsque de plus en plus d’utilisateurs ont accès à un secret, il devient possible que quelqu’un le manipule mal et le divulgue à une entité non autorisée, ce qui augmente le risque d’abus. La suppression des secrets inutilisés permet de révoquer l’accès aux secrets des utilisateurs qui n’en ont plus besoin. Elle permet également de réduire le coût d’utilisation du gestionnaire de secrets. Par conséquent, il est essentiel de supprimer régulièrement les secrets inutilisés.
Gravité : moyenne
La réplication interrégion doit être activée sur les compartiments S3
Description : L’activation de la réplication interrégion S3 garantit que plusieurs versions des données sont disponibles dans différentes régions distinctes. Cela vous permet de protéger votre compartiment S3 contre les attaques DDoS et les événements d’altération des données.
Gravité : faible
Le chiffrement côté serveur doit être activé sur les compartiments S3
Description : activez le chiffrement côté serveur pour protéger les données dans vos compartiments S3. Le chiffrement des données peut empêcher l’accès aux données sensibles en cas de violation des données.
Gravité : moyenne
Les secrets Secrets Manager configurés avec la rotation automatique doivent effectuer la rotation correctement
Description : ce contrôle case activée si un secret AWS Secrets Manager a été pivoté correctement en fonction de la planification de rotation. Le contrôle échoue si RotationOccurringAsScheduled a la valeur false. Le contrôle n’évalue pas les secrets qui n’ont pas de rotation configurée. Secrets Manager vous aide à améliorer la posture de sécurité de votre organisation. Les secrets incluent des informations d’identification de base de données, des mots de passe et des clés API tierces. Vous pouvez utiliser Secrets Manager pour stocker des secrets de manière centralisée, chiffrer les secrets automatiquement, contrôler l’accès aux secrets et effectuer la rotation des secrets en toute sécurité et automatiquement. Secrets Manager peut effectuer la rotation des secrets. Vous pouvez utiliser la rotation pour remplacer des secrets à long terme par des secrets à court terme. La rotation de vos secrets limite la durée pendant laquelle un utilisateur non autorisé peut utiliser un secret compromis. C’est pourquoi vous devez fréquemment effectuer la rotation de vos secrets. En plus de configurer des secrets pour une rotation automatique, vous devez vous assurer que ces secrets effectuent correctement la rotation en fonction de la planification de cette dernière. Pour en savoir plus sur la rotation, consultez Rotation des secrets d’AWS Secrets Manager dans le guide de l’utilisateur d’AWS Secrets Manager.
Gravité : moyenne
Les secrets Secrets Manager doivent effectuer une rotation dans un délai de jours spécifié
Description : ce contrôle case activée si vos secrets ont été pivotés au moins une fois dans les 90 jours. La rotation des secrets peut vous aider à réduire le risque d’une utilisation non autorisée de vos secrets dans votre compte AWS. Il peut s’agir, par exemple, d’informations d’identification de base de données, de mots de passe, de clés API tierces, voire de texte arbitraire. Si vous ne modifiez pas vos secrets pendant une longue période, les secrets sont plus susceptibles d’être compromis. Plus le nombre d’utilisateurs ayant accès à un secret est élevé, plus il est probable que quelqu’un le manipule mal et le transmette à une entité non autorisée. Les secrets peuvent être divulgués par le biais des journaux et des données de cache. Ils peuvent être partagés à des fins de débogage et ne pas être modifiés ou révoqués une fois le débogage terminé. Pour toutes ces raisons, il est important d’effectuer une rotation fréquente des secrets. Vous pouvez configurer une rotation automatique de vos secrets dans AWS Secrets Manager. Grâce à la rotation automatique, vous pouvez remplacer des secrets à long terme par des secrets à court terme, ce qui réduit considérablement les risques de compromission. Security Hub vous recommande d’activer la rotation pour vos secrets Secrets Manager. Pour en savoir plus sur la rotation, consultez Rotation des secrets d’AWS Secrets Manager dans le guide de l’utilisateur d’AWS Secrets Manager.
Gravité : moyenne
Les rubriques SNS doivent être chiffrées au repos à l’aide d’AWS KMS
Description : ce contrôle case activée si une rubrique SNS est chiffrée au repos à l’aide d’AWS KMS. Le chiffrement des données au repos réduit le risque d’accès aux données stockées sur le disque par un utilisateur non authentifié auprès d’AWS. Il ajoute également un autre ensemble de contrôles d’accès pour limiter la capacité des utilisateurs non autorisés à accéder aux données. Par exemple, des autorisations d’API sont nécessaires pour déchiffrer les données avant de pouvoir les lire. Les rubriques SNS doivent être chiffrées au repos pour une couche de sécurité ajoutée. Pour plus d’informations, consultez Chiffrement au repos dans le guide du développeur d’Amazon Simple Notification Service.
Gravité : moyenne
La journalisation de flux VPC doit être activée dans tous les VPC
Description : les journaux de flux DU VPC fournissent une visibilité du trafic réseau qui transite par le VPC et peuvent être utilisés pour détecter le trafic ou les insights anormales pendant les événements de sécurité.
Gravité : moyenne
Recommandations AWS IdentityAndAccess
Les domaines Amazon Elasticsearch Service doivent se trouver dans un VPC
Description : LE VPC ne peut pas contenir de domaines avec un point de terminaison public. Remarque : cela n’évalue pas la configuration de routage du sous-réseau DU VPC pour déterminer l’accessibilité publique.
Gravité : élevée
Les autorisations Amazon S3 accordées à d’autres comptes AWS dans les stratégies de compartiment doivent être restreintes
Description : L’implémentation de l’accès au privilège minimum est fondamentale pour réduire les risques de sécurité et l’impact des erreurs ou des intentions malveillantes. Si une stratégie de compartiment S3 autorise l’accès à partir de comptes externes, cela pourrait entraîner l’exfiltration de données par une menace interne ou un attaquant. Le paramètre « blacklistedactionpatterns » permet une évaluation réussie de la règle pour les compartiments S3. Le paramètre accorde l’accès aux comptes externes pour les modèles d’action qui ne sont pas inclus dans la liste « blacklistedactionpatterns ».
Gravité : élevée
Éviter d’utiliser le compte « racine »
Description : Le compte « racine » a un accès illimité à toutes les ressources du compte AWS. Il est vivement recommandé d’éviter l’utilisation de ce compte. Le compte « racine » est le compte AWS le plus privilégié. En limitant l’utilisation de ce compte et en adoptant le principe du moindre privilège pour la gestion des accès, vous réduirez le risque de modifications accidentelles et de divulgation involontaire d’informations d’identification à privilèges élevés.
Gravité : élevée
Les clés AWS KMS ne doivent pas être supprimées involontairement
Description : ce contrôle case activée si les clés KMS sont planifiées pour suppression. Le contrôle échoue si la suppression d’une clé KMS est planifiée. Les clés KMS ne peuvent pas être récupérées une fois supprimées. Les données chiffrées sous une clé KMS sont également irrémédiablement irrécupérables si la clé KMS est supprimée. Si des données significatives ont été chiffrées sous une clé KMS planifiée pour suppression, envisagez de déchiffrer les données ou de rechiffrer les données sous une nouvelle clé KMS, sauf si vous effectuez intentionnellement un effacement de chiffrement. Lorsque la suppression d’une clé KMS est planifiée, un délai d’attente obligatoire est appliqué pour permettre d’annuler la suppression, si elle a été planifiée par erreur. La période d’attente par défaut est de 30 jours, mais elle peut être réduite à moins de sept jours lorsque la clé KMS est planifiée pour suppression. Pendant la période d’attente, la suppression planifiée peut être annulée et la clé KMS ne sera pas supprimée. Pour plus d’informations sur la suppression de clés KMS, consultez le Guide de suppression des clés KMS dans aws Service de gestion de clés Developer Guide.
Gravité : élevée
La journalisation d’une ACL web mondiale d’AWS WAF classique doit être activée
Description : ce contrôle case activée si la journalisation est activée pour une ACL web globale AWS WAF. Ce contrôle échoue si la journalisation n’est pas activée pour la liste de contrôle d’accès web. La journalisation est un élément important du maintien de la fiabilité, de la disponibilité et du niveau de performance d’AWS WAF dans le monde entier. Il s’agit d’une exigence métier et de conformité dans de nombreuses organisations et vous permet de résoudre les problèmes de comportement de l’application. Elle fournit également des informations détaillées sur le trafic analysé par l’ACL web qui est attachée à AWS WAF.
Gravité : moyenne
Les distributions CloudFront doivent avoir un objet racine par défaut configuré
Description : ce contrôle case activée si une distribution Amazon CloudFront est configurée pour retourner un objet spécifique qui est l’objet racine par défaut. Le contrôle échoue si la distribution CloudFront n’a pas d’objet racine par défaut configuré. Un utilisateur peut parfois demander l’URL racine de la distribution au lieu d’un objet dans la distribution. Dans ce cas, la spécification d’un objet racine par défaut peut vous aider à éviter d’exposer le contenu de votre distribution web.
Gravité : élevée
Les distributions CloudFront doivent avoir une identité d’accès à l’origine activée
Description : ce contrôle case activée si une distribution Amazon CloudFront avec le type Amazon S3 Origin a l’identité d’accès d’origine (OAI) configurée. Le contrôle échoue si OAI n’est pas configuré. L’OAI CloudFront empêche les utilisateurs d’accéder directement au contenu d’un compartiment S3. Lorsque les utilisateurs accèdent directement à un compartiment S3, ils contournent efficacement la distribution CloudFront et toutes les autorisations qui sont appliquées au contenu du compartiment S3 sous-jacent.
Gravité : moyenne
La validation du fichier journal CloudTrail doit être activée
Description : Pour garantir une intégrité supplémentaire case activée ing des journaux CloudTrail, nous vous recommandons d’activer la validation des fichiers sur tous les CloudTrails.
Gravité : faible
CloudTrail doit être activé
Description : AWS CloudTrail est un service web qui enregistre les appels d’API AWS pour votre compte et vous remet les fichiers journaux. Tous les services n’activent pas la journalisation par défaut pour toutes les API et tous les événements. Vous devez implémenter des pistes d’audit supplémentaires autres que CloudTrail et consulter la documentation de chaque service dans Services et intégrations pris en charge par CloudTrail.
Gravité : élevée
Les pistes CloudTrail doivent être intégrées à CloudWatch Logs
Description : Outre la capture des journaux CloudTrail dans un compartiment S3 spécifié pour l’analyse à long terme, l’analyse en temps réel peut être effectuée en configurant CloudTrail pour envoyer des journaux à CloudWatch Logs. Pour qu’une piste soit activée dans toutes les régions d’un compte, CloudTrail envoie les fichiers journaux de toutes ces régions à un groupe de journaux CloudWatch Logs. Nous vous recommandons d’envoyer les journaux CloudTrail à CloudWatch Logs pour garantir que l’activité du compte AWS est capturée, surveillée et fait l’objet des alarmes appropriées. L’envoi de journaux CloudTrail à CloudWatch Logs facilite la journalisation des activités en temps réel et historique en fonction de l’utilisateur, de l’API, de la ressource et de l’adresse IP et permet d’établir des alarmes et des notifications pour l’activité anormale ou sensible du compte.
Gravité : faible
La journalisation de la base de données doit être activée
Description : ce contrôle case activée si les journaux d’activité suivants d’Amazon RDS sont activés et envoyés à CloudWatch Logs :
- Oracle : (Alerte, Audit, Trace, Écouteur)
- PostgreSQL : (Postgresql, mise à niveau)
- MySQL : (Audit, Erreur, Général, SlowQuery)
- MariaDB : (Audit, Erreur, Général, SlowQuery)
- SQL Server : (Erreur, Agent)
- Aurora : (Audit, Erreur, Général, SlowQuery)
- Aurora-MySQL : (Audit, Erreur, Général, SlowQuery)
- Aurora-PostgreSQL : (Postgresql, Mise à niveau). Les journaux appropriés doivent être activés dans les bases de données RDS. La journalisation de base de données fournit des enregistrements détaillés des requêtes adressées à RDS. Les journaux de base de données peuvent faciliter les audits de sécurité et d’accès et peuvent aider à diagnostiquer les problèmes de disponibilité.
Gravité : moyenne
Désactiver l’accès direct à Internet des instances de notebook Amazon SageMaker
Description : L’accès Direct à Internet doit être désactivé pour une instance de notebook SageMaker. Cette opération vérifie si le champ « DirectInternetAccess » est désactivé pour l’instance de notebook. Votre instance doit être configurée avec un VPC, et le paramètre par défaut doit être Désactiver : Accéder à Internet via un VPC. Pour permettre l’accès à Internet pour l’apprentissage ou l’hébergement de modèles à partir d’un notebook, assurez-vous que votre VPC dispose d’une passerelle NAT et que votre groupe de sécurité autorise les connexions sortantes. Assurez-vous que l’accès à votre configuration SageMaker est limité aux seuls utilisateurs autorisés, et restreignez les autorisations IAM des utilisateurs permettant de modifier les paramètres et les ressources SageMaker.
Gravité : élevée
Ne pas configurer de clés d’accès lors de la configuration initiale de l’utilisateur pour tous les utilisateurs IAM qui ont un mot de passe de console
Description : la console AWS définit par défaut la case activée box permettant de créer des clés d’accès activées. En conséquence, de nombreuses clés d’accès sont générées inutilement. Outre les informations d’identification inutiles, cela génère également un travail de gestion inutile pour l’audit et la rotation de ces clés. Exiger que des mesures supplémentaires soient prises par l’utilisateur une fois son profil créé donnera une indication plus forte de l’intention que les clés d’accès sont [a] nécessaires pour leur travail et [b] une fois que la clé d’accès est établie sur un compte que les clés peuvent être utilisées quelque part dans l’organisation.
Gravité : moyenne
Vérifier qu’un rôle de support a été créé pour gérer les incidents avec le support AWS
Description : AWS fournit un centre de support qui peut être utilisé pour la notification et la réponse aux incidents, ainsi que le support technique et les services clients. Créez un rôle IAM pour permettre aux utilisateurs autorisés de gérer les incidents avec le support AWS. En implémentant le privilège minimum pour le contrôle d’accès, un rôle IAM nécessite une stratégie IAM appropriée pour autoriser l’accès au Centre d’aide et de support pour gérer les incidents avec le support AWS.
Gravité : faible
Vérifier que les clés d’accès font l’objet d’une rotation tous les 90 jours ou moins
Description : les clés d’accès se composent d’un ID de clé d’accès et d’une clé d’accès secrète, qui sont utilisées pour signer des demandes programmatiques que vous effectuez à AWS. Les utilisateurs d’AWS ont besoin de leurs propres clés d’accès pour adresser des appels programmatiques à AWS à partir de l’interface de ligne de commande AWS (AWS CLI), des outils pour Windows PowerShell, des Kits de développement logiciel (SDK) AWS ou des appels HTTP directs utilisant les API pour les services AWS individuels. Il est recommandé que toutes les clés d’accès soient régulièrement pivotées. La rotation des clés d’accès réduit la fenêtre d’opportunité d’une clé d’accès associée à un compte compromis ou arrêté à utiliser. Les clés d’accès doivent être pivotées pour s’assurer que les données ne sont pas accessibles avec une ancienne clé, qui a peut-être été perdue, craquelée ou volée.
Gravité : moyenne
Vérifier qu’AWS Config est activé dans toutes les régions
Description : AWS Config est un service web qui effectue la gestion de la configuration des ressources AWS prises en charge au sein de votre compte et vous remet les fichiers journaux. Les informations enregistrées incluent l’élément de configuration (ressource AWS), les relations entre les éléments de configuration (ressources AWS) et toute modification de configuration entre les ressources. Il est recommandé d’activer AWS Config dans toutes les régions.
L’historique des éléments de configuration AWS capturé par AWS Config permet l’analyse de la sécurité, le suivi des modifications des ressources et l’audit de la conformité.
Gravité : moyenne
Vérifier que CloudTrail est activé dans toutes les régions
Description : AWS CloudTrail est un service web qui enregistre les appels d’API AWS pour votre compte et vous remet les fichiers journaux. Les informations enregistrées incluent l’identité de l’appelant de l’API, l’heure de l’appel d’API, l’adresse IP source de l’appelant de l’API, les paramètres de la requête et les éléments de réponse renvoyés par le service AWS. CloudTrail fournit un historique des appels d’API AWS pour un compte, y compris les appels d’API effectués via la console de gestion, les Kits de développement logiciel (SDK), les outils de ligne de commande et les services AWS de niveau supérieur (tels que CloudFormation). L’historique des appels de l’API AWS produit par CloudTrail permet l’analyse de la sécurité, le suivi des modifications des ressources et l’audit de la conformité. Voici quelques ajustements supplémentaires :
- s’assurer qu’il existe une piste multirégion garantit que l’activité inattendue qui se produit dans d’autres régions inutilisées est détectée
- s’assurer qu’il existe une piste multirégion garantit que la « journalisation des services globaux » est activée pour une piste par défaut pour capturer l’enregistrement des événements générés sur les services globaux AWS
- pour une piste multirégion, en veillant à ce que les événements de gestion configurés pour tous les types de lectures/écritures garantissent l’enregistrement des opérations de gestion effectuées sur toutes les ressources d’un compte AWS
Gravité : élevée
Vérifier que les informations d’identification inutilisées pendant 90 jours ou plus sont désactivées
Description : les utilisateurs AWS IAM peuvent accéder aux ressources AWS à l’aide de différents types d’informations d’identification, tels que les mots de passe ou les clés d’accès. Il est recommandé que toutes les informations d’identification qui n’ont pas été utilisées dans 90 jours ou plus soient supprimées ou désactivées. La désactivation ou la suppression d’informations d’identification inutiles réduisent la fenêtre d’opportunité des informations d’identification associées à un compte compromis ou abandonné à utiliser.
Gravité : moyenne
Veiller à ce que la stratégie de mot de passe IAM fasse expirer les mots de passe dans un délai de 90 jours ou moins
Description : les stratégies de mot de passe IAM peuvent exiger que les mots de passe soient pivotés ou expirés après un nombre donné de jours. Il est recommandé que la stratégie de mot de passe expire les mots de passe après 90 jours ou moins. La réduction de la durée de vie des mots de passe augmente la résilience des comptes contre les tentatives de connexion par force brute. De plus, le fait d’exiger des changements réguliers de mot de passe aide dans les scénarios suivants :
- Les mots de passe peuvent être volés ou compromis parfois sans vos connaissances. Cela peut se produire par le biais d’une compromission du système, d’une vulnérabilité du logiciel ou d’une menace interne.
- Certains filtres web d’entreprise et de gouvernement ou serveurs proxy ont la possibilité d’intercepter et d’enregistrer le trafic même s’il est chiffré.
- De nombreuses personnes utilisent le même mot de passe pour de nombreux systèmes tels que le travail, l’e-mail et le personnel.
- Les stations de travail des utilisateurs finaux compromises peuvent avoir un enregistreur d’événements de séquence de touches.
Gravité : faible
Vérifier que la stratégie de mot de passe IAM empêche la réutilisation du mot de passe
Description : les stratégies de mot de passe IAM peuvent empêcher la réutilisation d’un mot de passe donné par le même utilisateur. Il est recommandé que la stratégie de mot de passe empêche la réutilisation des mots de passe. Empêcher la réutilisation des mots de passe augmente la résilience des comptes contre les tentatives de connexion par force brute.
Gravité : faible
Vérifier que la stratégie de mot de passe IAM requiert au moins une lettre minuscule
Description : Les stratégies de mot de passe sont, en partie, utilisées pour appliquer les exigences de complexité du mot de passe. Les stratégies de mot de passe IAM peuvent être utilisées pour garantir que le mot de passe est composé de jeux de caractères différents. Il est recommandé que la stratégie de mot de passe nécessite au moins une lettre minuscule. La mise en place d’une stratégie de complexité des mots de passe augmente la résilience des comptes contre les tentatives de connexion par force brute.
Gravité : moyenne
Vérifier que la stratégie de mot de passe IAM requiert au moins un chiffre
Description : Les stratégies de mot de passe sont, en partie, utilisées pour appliquer les exigences de complexité du mot de passe. Les stratégies de mot de passe IAM peuvent être utilisées pour garantir que le mot de passe est composé de jeux de caractères différents. Il est recommandé que la stratégie de mot de passe nécessite au moins un nombre. La mise en place d’une stratégie de complexité des mots de passe augmente la résilience des comptes contre les tentatives de connexion par force brute.
Gravité : moyenne
Vérifier que la stratégie de mot de passe IAM requiert au moins un symbole
Description : Les stratégies de mot de passe sont, en partie, utilisées pour appliquer les exigences de complexité du mot de passe. Les stratégies de mot de passe IAM peuvent être utilisées pour garantir que le mot de passe est composé de jeux de caractères différents. Il est recommandé que la stratégie de mot de passe nécessite au moins un symbole. La mise en place d’une stratégie de complexité des mots de passe augmente la résilience des comptes contre les tentatives de connexion par force brute.
Gravité : moyenne
Vérifier que la stratégie de mot de passe IAM requiert au moins une lettre majuscule
Description : Les stratégies de mot de passe sont, en partie, utilisées pour appliquer les exigences de complexité du mot de passe. Les stratégies de mot de passe IAM peuvent être utilisées pour garantir que le mot de passe est composé de jeux de caractères différents. Il est recommandé que la stratégie de mot de passe nécessite au moins une lettre majuscule. La mise en place d’une stratégie de complexité des mots de passe augmente la résilience des comptes contre les tentatives de connexion par force brute.
Gravité : moyenne
Vérifier que la stratégie de mot de passe IAM requiert une longueur minimale de 14 caractères ou plus
Description : Les stratégies de mot de passe sont, en partie, utilisées pour appliquer les exigences de complexité du mot de passe. Les stratégies de mot de passe IAM peuvent être utilisées pour s’assurer que les mots de passe ont au moins une longueur donnée. Il est recommandé que la stratégie de mot de passe nécessite une longueur minimale de mot de passe « 14 ». La mise en place d’une stratégie de complexité des mots de passe augmente la résilience des comptes contre les tentatives de connexion par force brute.
Gravité : moyenne
Vérifiez que l’authentification multifacteur (MFA) est activée pour tous les utilisateurs IAM disposant d’un mot de passe de console
Description : L’authentification multifacteur (MFA) ajoute une couche supplémentaire de protection en plus d’un nom d’utilisateur et d’un mot de passe. Une fois l’authentification multifacteur activée, lorsqu’un utilisateur se connecte à un site web AWS, il est invité à entrer son nom d’utilisateur et son mot de passe, ainsi qu’un code d’authentification à partir de son appareil AWS MFA. Il est recommandé d’activer l’authentification multifacteur pour tous les comptes qui ont un mot de passe de console. L’activation de l’authentification multifacteur offre une sécurité accrue pour l’accès à la console, car elle nécessite que le principal d’authentification possède un appareil qui émet une clé temporaire et ait connaissance des informations d’identification.
Gravité : moyenne
GuardDuty doit être activé
Description : Pour fournir une protection supplémentaire contre les intrusions, GuardDuty doit être activé sur votre compte et région AWS. Remarque : GuardDuty peut ne pas être une solution complète pour chaque environnement.
Gravité : moyenne
L’authentification multifacteur matérielle doit être activée pour le compte « racine »
Description : le compte racine est l’utilisateur le plus privilégié d’un compte. L’authentification multifacteur ajoute une couche supplémentaire de protection en plus du nom d’utilisateur et du mot de passe. Quand l’authentification multifacteur est activée, lorsqu’un utilisateur se connecte à un site web AWS, il est invité à entrer son nom d’utilisateur et son mot de passe, ainsi qu’un code d’authentification provenant de son appareil d’authentification multifacteur AWS. Pour le niveau 2, il est recommandé de protéger le compte racine avec une authentification multifacteur matérielle. Une authentification multifacteur matérielle a une surface d’attaque plus petite qu’une authentification multifacteur virtuelle. Par exemple, une authentification multifacteur matérielle ne souffre pas de la surface d’attaque introduite par le smartphone sur lequel réside une authentification multifacteur virtuelle. L’utilisation de l’authentification multifacteur matérielle pour un très grand nombre de comptes peut créer un problème de gestion logistique des appareils. Si tel est le cas, envisagez d’implémenter cette recommandation de niveau 2 de manière sélective pour les comptes les plus sécurisés. Vous pouvez ensuite appliquer la recommandation de niveau 1 aux autres comptes.
Gravité : faible
L’authentification IAM doit être configurée pour les clusters RDS
Description : ce contrôle case activée si un cluster de base de données RDS a activé l’authentification de base de données IAM. L’authentification de base de données IAM permet d’authentifier les instances de base de données sans mot de passe. L’authentification utilise un jeton d’authentification. Le trafic vers et depuis la base de données est chiffré à l’aide du protocole SSL. Pour plus d’informations, consultez Authentification de base de données IAM dans le guide de l’utilisateur d’Amazon Aurora.
Gravité : moyenne
L’authentification IAM doit être configurée pour les instances RDS
Description : ce contrôle case activée si une instance de base de données RDS a une authentification de base de données IAM activée. L’authentification de base de données IAM permet d’authentifier les instances de base de données avec un jeton d’authentification au lieu d’un mot de passe. Le trafic vers et depuis la base de données est chiffré à l’aide du protocole SSL. Pour plus d’informations, consultez Authentification de base de données IAM dans le guide de l’utilisateur d’Amazon Aurora.
Gravité : moyenne
Les stratégies gérées par le client IAM ne doivent pas autoriser les actions de déchiffrement sur toutes les clés KMS
Description : vérifie si la version par défaut des stratégies gérées par le client IAM autorise les principaux à utiliser les actions de déchiffrement AWS KMS sur toutes les ressources. Ce contrôle utilise Zelkova, un moteur de raisonnement automatisé, pour valider et vous avertir des stratégies susceptibles d’accorder un accès étendu à vos secrets dans les comptes AWS. Ce contrôle échoue si les actions « kms :Decrypt » ou « kms :ReEncryptFrom » sont autorisées sur toutes les clés KMS. Le contrôle évalue les stratégies gérées par le client, qu’elles soient attachées ou non. Il n’case activée pas de stratégies inline ni de stratégies gérées par AWS. Grâce à AWS KMS, vous contrôlez qui peut utiliser vos clés KMS et accéder à vos données chiffrées. Les stratégies IAM définissent les actions qu’une identité (utilisateur, groupe ou rôle) peut effectuer sur les ressources. Conformément aux meilleures pratiques en matière de sécurité, AWS recommande d’accorder le moindre privilège. En d’autres termes, vous devez accorder aux identités uniquement les autorisations « kms:Decrypt » ou « kms:ReEncryptFrom » et uniquement pour les clés nécessaires à l’exécution d’une tâche. Sinon, l’utilisateur peut utiliser des clés qui ne conviennent pas à vos données. Au lieu d’accorder des autorisations pour toutes les clés, déterminez le jeu minimal de clés dont les utilisateurs ont besoin pour accéder aux données chiffrées. Concevez ensuite des stratégies qui permettent aux utilisateurs d’utiliser uniquement ces clés. Par exemple, n’autorisez pas l’autorisation « kms :Decrypt » sur toutes les clés KMS. Au contraire, n’autorisez « kms:Decrypt » que sur les clés d’une région particulière de votre compte. En adoptant le principe du moindre privilège, vous pouvez réduire le risque de divulgation involontaire de vos données.
Gravité : moyenne
Les stratégies gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services
Description : ce contrôle case activée si les stratégies basées sur les identités IAM que vous créez ont des instructions Allow qui utilisent le caractère générique * carte pour accorder des autorisations pour toutes les actions sur n’importe quel service. Le contrôle échoue si une instruction de stratégie inclut « Effect » : « Allow » avec « Action » : « Service :* ». Par exemple, l’instruction suivante dans une stratégie entraîne un résultat d’échec.
'Statement': [
{
'Sid': 'EC2-Wildcard',
'Effect': 'Allow',
'Action': 'ec2:*',
'Resource': '*'
}
Le contrôle échoue également si vous utilisez « Effet » : « Autoriser » avec « NotAction » : « service : ». Dans ce cas, l’élément NotAction fournit l’accès à toutes les actions d’un service AWS, à l’exception des actions spécifiées dans NotAction. Ce contrôle s’applique uniquement aux stratégies IAM gérées par le client. Elle ne s’applique pas aux stratégies IAM gérées par AWS. Lorsque vous attribuez des autorisations aux services AWS, il est important d’étendre les actions IAM autorisées dans vos stratégies IAM. Vous devez limiter les actions IAM uniquement aux actions nécessaires. Cela vous aide à provisionner des autorisations de privilège minimum. Les stratégies trop permissives peuvent entraîner une escalade de privilèges si les stratégies sont attachées à un principal IAM qui peut ne pas nécessiter l’autorisation. Dans certains cas, vous pouvez autoriser les actions IAM qui ont un préfixe similaire, tel que DescribeFlowLogs et DescribeAvailabilityZones. Dans ces cas autorisés, vous pouvez ajouter un caractère générique suffixe carte au préfixe commun. Par exemple, ec2 :Describe.
Ce contrôle réussit si vous utilisez un préfixe d’action IAM avec un caractère générique en suffixe. Par exemple, l’instruction suivante dans une stratégie entraîne un résultat de réussite.
'Statement': [
{
'Sid': 'EC2-Wildcard',
'Effect': 'Allow',
'Action': 'ec2:Describe*',
'Resource': '*'
}
Lorsque vous regroupez des actions IAM connexes de cette manière, vous pouvez également éviter de dépasser les limites de taille des stratégies IAM.
Gravité : faible
Les stratégies IAM doivent être attachées uniquement aux groupes ou aux rôles
Description : Par défaut, les utilisateurs, les groupes et les rôles IAM n’ont pas accès aux ressources AWS. Les stratégies IAM sont la méthode par laquelle les privilèges sont accordés aux utilisateurs, aux groupes ou aux rôles. Il est recommandé que les stratégies IAM soient appliquées directement aux groupes et aux rôles, mais pas aux utilisateurs. L’attribution de privilèges au niveau du groupe ou du rôle réduit la complexité de la gestion des accès à mesure que le nombre d’utilisateurs augmente. La réduction de la complexité de la gestion des accès peut à son tour réduire l’opportunité pour un principal de recevoir ou de conserver par inadvertance des privilèges excessifs.
Gravité : faible
Les stratégies IAM qui autorisent des privilèges administratifs complets « : » ne doivent pas être créées
Description : les stratégies IAM sont les moyens par lesquels les privilèges sont accordés aux utilisateurs, groupes ou rôles. Il est recommandé et considéré comme un conseil de sécurité standard pour accorder des privilèges minimum, c’est-à-dire accorder uniquement les autorisations requises pour effectuer une tâche. Déterminez ce que les utilisateurs doivent faire, puis élaborez des stratégies qui leur permettent d’effectuer uniquement ces tâches, au lieu de leur accorder tous les privilèges administratifs. Il est plus sûr de commencer avec un ensemble minimal d’autorisations et d’accorder des autorisations supplémentaires si nécessaire, plutôt que de commencer avec des autorisations trop souples et d’essayer de les renforcer par la suite. Fournir des privilèges administratifs complets au lieu de se limiter à l’ensemble minimal d’autorisations dont l’utilisateur a besoin expose les ressources à des actions potentiellement indésirables. Les stratégies IAM ayant une instruction avec 'Effect': 'Allow' avec 'Action': '' sur 'Resource': '' doivent être supprimées.
Gravité : élevée
Les principaux IAM ne doivent pas avoir de stratégies IAM en ligne qui autorisent les actions de déchiffrement sur toutes les clés KMS
Description : Vérifie si les stratégies incorporées dans vos identités IAM (rôle, utilisateur ou groupe) autorisent les actions de déchiffrement AWS KMS sur toutes les clés KMS. Ce contrôle utilise Zelkova, un moteur de raisonnement automatisé, pour valider et vous avertir des stratégies susceptibles d’accorder un accès étendu à vos secrets dans les comptes AWS. Ce contrôle échoue si les actions « kms:Decrypt » ou « kms:ReEncryptFrom » sont autorisées sur toutes les clés KMS dans une stratégie en ligne. Grâce à AWS KMS, vous contrôlez qui peut utiliser vos clés KMS et accéder à vos données chiffrées. Les stratégies IAM définissent les actions qu’une identité (utilisateur, groupe ou rôle) peut effectuer sur les ressources. Conformément aux meilleures pratiques en matière de sécurité, AWS recommande d’accorder le moindre privilège. En d’autres termes, vous devez accorder aux identités uniquement les autorisations dont elles ont besoin et uniquement pour les clés nécessaires à l’exécution d’une tâche. Sinon, l’utilisateur peut utiliser des clés qui ne conviennent pas à vos données. Au lieu d’accorder une autorisation pour toutes les clés, déterminez le jeu minimal de clés dont les utilisateurs ont besoin pour accéder aux données chiffrées. Concevez ensuite des stratégies qui permettent aux utilisateurs d’utiliser uniquement ces clés. Par exemple, n’autorisez pas l’autorisation « kms :Decrypt » sur toutes les clés KMS. Au lieu de cela, ne les autorisez que sur les clés d’une région particulière de votre compte. En adoptant le principe du moindre privilège, vous pouvez réduire le risque de divulgation involontaire de vos données.
Gravité : moyenne
Les fonctions Lambda doivent restreindre l’accès public
Description : La stratégie basée sur les ressources de fonction lambda doit restreindre l’accès public. Cette recommandation n’case activée pas d’accès par des principaux internes. Assurez-vous que l’accès à la fonction est restreint aux seuls principaux autorisés à l’aide de stratégies basées sur les ressources de moindre privilège.
Gravité : élevée
L’authentification multifacteur doit être activée pour tous les utilisateurs IAM
Description : Tous les utilisateurs IAM doivent avoir activé l’authentification multifacteur (MFA).
Gravité : moyenne
L’authentification multifacteur doit être activée pour le compte « racine »
Description : le compte racine est l’utilisateur le plus privilégié d’un compte. L’authentification multifacteur ajoute une couche supplémentaire de protection en plus du nom d’utilisateur et du mot de passe. Quand l’authentification multifacteur est activée, lorsqu’un utilisateur se connecte à un site web AWS, il est invité à entrer son nom d’utilisateur et son mot de passe, ainsi qu’un code d’authentification provenant de son appareil d’authentification multifacteur AWS. Lorsque vous utilisez l’authentification multifacteur virtuelle pour les comptes racines, il est recommandé que l’appareil utilisé n’est pas un appareil personnel. Utilisez plutôt un appareil mobile dédié (tablette ou téléphone) que vous gardez chargé et sécurisé indépendamment de tout appareil personnel individuel. Cela réduit les risques de perdre l’accès à l’authentification multifacteur en cas de perte ou d’échange de l’appareil ou si la personne possédant l’appareil n’est plus employée par l’entreprise.
Gravité : faible
Les stratégies de mot de passe pour les utilisateurs IAM doivent avoir des configurations fortes
Description : vérifie si la stratégie de mot de passe de compte pour les utilisateurs IAM utilise les configurations minimales suivantes.
- RequireUppercaseCharacters - Exiger au moins un caractère majuscule dans le mot de passe. (Valeur par défaut = true)
- RequireLowercaseCharacters - Exiger au moins un caractère minuscule dans le mot de passe. (Valeur par défaut = true)
- RequireNumbers - Exiger au moins un numéro dans le mot de passe. (Valeur par défaut = true)
- MinimumPasswordLength - Longueur minimale du mot de passe. (Valeur par défaut = 7 ou plus)
- PasswordReusePrevention - Nombre de mots de passe avant d’autoriser la réutilisation. (Valeur par défaut = 4)
- MaxPasswordAge : nombre de jours avant l’expiration du mot de passe. (Valeur par défaut = 90)
Gravité : moyenne
La clé d’accès du compte racine ne doit pas exister
Description : Le compte racine est l’utilisateur le plus privilégié d’un compte AWS. Les clés d’accès AWS fournissent un accès programmatique à un compte AWS donné. Il est recommandé de supprimer toutes les clés d’accès associées au compte racine. La suppression des clés d’accès associées au compte racine limite les vecteurs par lesquels le compte peut être compromis. En outre, la suppression des clés d’accès racine encourage la création et l’utilisation de comptes basés sur des rôles qui ont moins de privilèges.
Gravité : élevée
Le paramètre Bloquer l’accès public S3 doit être activé
Description : L’activation du paramètre Bloquer l’accès public pour votre compartiment S3 peut aider à empêcher les fuites de données sensibles et à protéger votre compartiment contre les actions malveillantes.
Gravité : moyenne
Le paramètre Bloquer l’accès public S3 doit être activé au niveau du compartiment
Description : ce contrôle case activée si les compartiments S3 ont des blocs d’accès public au niveau du compartiment appliqués. Ce contrôle échoue si l’un des paramètres suivants a la valeur false :
- ignorePublicAcls
- blockPublicPolicy
- blockPublicAcls
- restrictPublicBuckets Bloquer l’accès public au niveau du compartiment S3 fournit des contrôles pour s’assurer que les objets n’ont jamais accès public. L’accès public est accordé aux compartiments et aux objets via des listes de contrôle d’accès (ACL), des stratégies de compartiments ou les deux. À moins que vous ne souhaitiez que vos compartiments S3 soient accessibles publiquement, vous devez configurer la fonctionnalité Bloquer l’accès public d’Amazon S3 au niveau du compartiment.
Gravité : élevée
L’accès public en lecture des compartiments S3 doit être supprimé
Description : la suppression de l’accès en lecture public à votre compartiment S3 peut aider à protéger vos données et à empêcher une violation des données.
Gravité : élevée
L’accès public en écriture des compartiments S3 doit être supprimé
Description : Autoriser l’accès en écriture publique à votre compartiment S3 peut vous laisser vulnérable à des actions malveillantes telles que le stockage de données à vos frais, le chiffrement de vos fichiers pour rançon ou l’utilisation de votre compartiment pour exploiter des programmes malveillants.
Gravité : élevée
La rotation automatique doit être activée pour les secrets Secrets Manager
Description : ce contrôle case activée si un secret stocké dans AWS Secrets Manager est configuré avec une rotation automatique. Secrets Manager vous aide à améliorer la posture de sécurité de votre organisation. Les secrets incluent des informations d’identification de base de données, des mots de passe et des clés API tierces. Vous pouvez utiliser Secrets Manager pour stocker des secrets de manière centralisée, chiffrer les secrets automatiquement, contrôler l’accès aux secrets et effectuer la rotation des secrets en toute sécurité et automatiquement. Secrets Manager peut effectuer la rotation des secrets. Vous pouvez utiliser la rotation pour remplacer des secrets à long terme par des secrets à court terme. La rotation de vos secrets limite la durée pendant laquelle un utilisateur non autorisé peut utiliser un secret compromis. C’est pourquoi vous devez fréquemment effectuer la rotation de vos secrets. Pour en savoir plus sur la rotation, consultez Rotation des secrets d’AWS Secrets Manager dans le guide de l’utilisateur d’AWS Secrets Manager.
Gravité : moyenne
Les instances EC2 arrêtées doivent être supprimées après un laps de temps spécifique
Description : ce contrôle case activée si des instances EC2 ont été arrêtées pendant plus que le nombre de jours autorisé. Une instance EC2 échoue cette case activée si elle est arrêtée pendant plus longtemps que la période maximale autorisée, qui est par défaut de 30 jours. Un résultat d’échec indique qu’une instance EC2 n’a pas été exécutée pendant un laps de temps considérable. Cela crée un risque de sécurité, car l’instance EC2 n’est pas gérée activement (analysée, corrigée, mise à jour). S’il est lancé ultérieurement, l’absence de maintenance appropriée peut entraîner des problèmes inattendus dans votre environnement AWS. Pour maintenir en toute sécurité une instance EC2 dans un état de non-fonctionnement au fil du temps, démarrez-la périodiquement pour la maintenance, puis arrêtez-la après la maintenance. Dans l’idéal, il s’agit d’un processus automatisé.
Gravité : moyenne
Les identités surprovisionnés AWS doivent disposer uniquement des autorisations nécessaires (préversion)
Description : une identité active sur provisionnée est une identité qui a accès aux privilèges qu’ils n’ont pas utilisés. Les identités actives sur provisionnée, en particulier pour les comptes non humains qui ont défini des actions et des responsabilités, peuvent augmenter le rayon d’explosion en cas de compromission d’un utilisateur, d’une clé ou d’une ressource. Supprimez les autorisations inutiles et établissez des processus de révision pour obtenir les autorisations les moins privilégiées.
Gravité : moyenne
Les identités inutilisées dans votre environnement AWS doivent être supprimées (préversion)
Description : les identités inactives sont des entités humaines et non humaines qui n’ont effectué aucune action sur une ressource au cours des 90 derniers jours. Les identités IAM inactives disposant d’autorisations à haut risque dans votre compte AWS peuvent être sujettes à une attaque si elles sont laissées comme c’est le cas et laisser les organisations ouvertes aux informations d’identification malveillantes ou à l’exploitation. La détection et la réponse proactives aux identités inutilisées vous aident à empêcher les entités non autorisées d’accéder à vos ressources AWS.
Gravité : moyenne
Recommandations de mise en réseau AWS
Amazon EC2 doit être configuré pour utiliser des points de terminaison de VPC
Description : ce contrôle case activée si un point de terminaison de service pour Amazon EC2 est créé pour chaque VPC. Le contrôle échoue si un VPC n’a pas de point de terminaison VPC créé pour le service Amazon EC2. Pour améliorer la posture de sécurité de votre VPC, vous pouvez configurer Amazon EC2 pour utiliser un point de terminaison de VPC d’interface. Les points de terminaison d’interface sont alimentés par AWS PrivateLink, une technologie qui vous permet d’accéder aux opérations de l’API Amazon EC2 de manière privée. Elle limite tout le trafic entre votre VPC et Amazon EC2 au réseau Amazon. Étant donné que les points de terminaison sont pris en charge uniquement dans la même région, vous ne pouvez pas créer de point de terminaison entre un VPC et un service dans une autre région. Cela permet d’éviter les appels involontaires de l’API Amazon EC2 vers d’autres régions. Pour en savoir plus sur la création de points de terminaison de VPC pour Amazon EC2, consultez Amazon EC2 et points de terminaison d’un VPC d’interface dans le guide de l’utilisateur d’Amazon EC2 pour les instances Linux.
Gravité : moyenne
Les services Amazon ECS ne doivent pas avoir d’IP publiques attribuées automatiquement
Description : une adresse IP publique est une adresse IP accessible à partir d’Internet. Si vous lancez vos instances Amazon ECS avec une IP publique, vos instances Amazon ECS sont accessibles depuis l’Internet. Les services Amazon ECS ne doivent pas être accessibles publiquement, car cela peut autoriser l’accès involontaire à vos serveurs d’applications conteneur.
Gravité : élevée
Les nœuds principaux de cluster Amazon EMR ne doivent pas avoir d’IP publiques
Description : ce contrôle case activée si les nœuds principaux sur les clusters Amazon EMR ont des adresses IP publiques. Le contrôle échoue si le nœud principal a des IP publiques qui sont associées à l’une de ses instances. Les IP publiques sont désignées dans le champ PublicIp de la configuration NetworkInterfaces de l’instance. Ce contrôle vérifie uniquement les clusters Amazon EMR qui sont dans un état RUNNING ou WAITING.
Gravité : élevée
Les clusters Amazon Redshift doivent utiliser un routage VPC amélioré
Description : ce contrôle case activée si un cluster Amazon Redshift est activé pour EnhancedVpcRouting. Le routage VPC amélioré oblige tout le trafic COPY et UNLOAD entre le cluster et les référentiels de données à passer par votre VPC. Vous pouvez ensuite utiliser des fonctionnalités VPC, telles que des groupes de sécurité et des listes de contrôle d’accès réseau, pour sécuriser le trafic. Vous pouvez également utiliser les journaux de flux VPC pour surveiller le trafic.
Gravité : élevée
Application Load Balancer doit être configuré pour rediriger toutes les requêtes HTTP vers HTTPS
Description : Pour appliquer le chiffrement en transit, vous devez utiliser des actions de redirection avec des équilibreurs de charge d’application pour rediriger les requêtes HTTP clientes vers une requête HTTPS sur le port 443.
Gravité : moyenne
Les Application Load Balancers doivent être configurés pour supprimer les en-têtes HTTP
Description : ce contrôle évalue les équilibreurs de charge d’application AWS (ALB) pour s’assurer qu’ils sont configurés pour supprimer les en-têtes HTTP non valides. Le contrôle échoue si la valeur de routing.http.drop_invalid_header_fields.enabled est définie sur false. Par défaut, les alb ne sont pas configurés pour supprimer les valeurs d’en-tête HTTP non valides. La suppression de ces valeurs d’en-tête empêche les attaques par désynchronisation HTTP.
Gravité : moyenne
Configurer des fonctions Lambda sur un VPC
Description : ce contrôle case activée si une fonction Lambda se trouve dans un VPC. Elle n’évalue pas la configuration de routage du sous-réseau DU VPC pour déterminer l’accessibilité publique. Notez que si Lambda@Edge est trouvé dans le compte, ce contrôle génère des résultats d’échec. Pour éviter ces résultats, vous pouvez désactiver ce contrôle.
Gravité : faible
Les instances EC2 ne doivent pas avoir d’IP publique
Description : ce contrôle case activée si les instances EC2 ont une adresse IP publique. Le contrôle échoue si le champ « publicIp » est présent dans l’élément de configuration de l’instance EC2. Ce contrôle s’applique uniquement aux adresses IPv4. Une adresse IPv4 publique est une adresse IP accessible à partir d’Internet. Si vous lancez votre instance avec une IP publique, votre instance EC2 est accessible à partir d’Internet. Une adresse IPv4 privée est une adresse IP qui n’est pas accessible à partir d’Internet. Vous pouvez utiliser des adresses IPv4 privées pour la communication entre des instances EC2 dans le même VPC ou dans votre réseau privé connecté. Les adresses IPv6 sont uniques au monde, et sont donc accessibles depuis l’internet. Toutefois, par défaut, tous les sous-réseaux ont l’attribut d’adressage IPv6 défini sur false. Pour plus d’informations sur IPv6, consultez Adressage IP dans votre VPC dans le guide de l’utilisateur d’Amazon VPC. Si vous avez un cas d’usage légitime pour conserver des instances EC2 avec des IP publiques, vous pouvez supprimer les résultats de ce contrôle. Pour plus d’informations sur les options d’architecture frontale, consultez le blog sur l’architecture AWS ou la série This Is My Architecture.
Gravité : élevée
Les instances EC2 ne doivent pas utiliser plusieurs ENI
Description : ce contrôle case activée si une instance EC2 utilise plusieurs interfaces réseau élastiques (ENIs) ou des adaptateurs d’infrastructure élastique (EFA). Ce contrôle passe si une seule carte réseau est utilisée. Le contrôle comprend une liste de paramètres facultatifs permettant d’identifier les ENI autorisées. Les ENI multiples peuvent provoquer des instances à double hébergement, c’est-à-dire des instances qui ont plusieurs sous-réseaux. Cela peut rendre la sécurité du réseau plus complexe et introduire des chemins et des accès réseau involontaires.
Gravité : faible
Les instances EC2 doivent utiliser IMDSv2
Description : ce contrôle case activée si votre version de métadonnées d’instance EC2 est configurée avec instance Metadata Service Version 2 (IMDSv2). Le contrôle réussit si « HttpTokens » est défini sur « required » pour IMDSv2. Le contrôle échoue si « HttpTokens » est défini sur « optional ». Vous utilisez les métadonnées d’instance pour configurer ou gérer l’instance en cours d’exécution. L’IMDS donne accès à des informations d’identification temporaires et faisant l’objet d’une rotation fréquente. Ces informations d’identification suppriment la nécessité de coder en dur ou de distribuer manuellement ou par programme des informations d’identification sensibles aux instances. L’IMDS est attaché localement à chaque instance EC2. Il s’exécute sur une adresse IP spéciale « lien local » de 169.254.169.254. Cette adresse IP est accessible uniquement par les logiciels qui s’exécutent sur l’instance. La version 2 de l’IMDS ajoute de nouvelles protections contre les types de vulnérabilités suivants. Ces vulnérabilités peuvent être utilisées pour tenter d’accéder à l’IMDS.
- Ouvrir des pare-feu d’applications de site web
- Ouvrir des proxys inverses
- Vulnérabilités de falsification de requête côté serveur (SSRF)
- Open Layer 3 firewalls and network address translation (NAT) Security Hub recommande de configurer vos instances EC2 avec IMDSv2.
Gravité : élevée
Les sous-réseaux EC2 ne doivent pas attribuer automatiquement des IP publiques
Description : ce contrôle case activée indique si l’affectation d’adresses IP publiques dans les sous-réseaux Amazon Virtual Private Cloud (Amazon VPC) a la valeur « MapPublicIpOnLaunch » définie sur « FALSE ». Le contrôle réussit si l’indicateur est défini sur « FALSE ». Tous les sous-réseaux ont un attribut qui détermine si une interface réseau créée dans le sous-réseau reçoit automatiquement une adresse IPv4 publique. Les instances qui sont lancées dans des sous-réseaux pour lesquels cet attribut est activé ont une IP publique affectée à leur interface réseau principale.
Gravité : moyenne
Garantir l’existence d’une alarme et d’un filtre de métrique de journal pour les changements de configuration d’AWS Config
Description : La surveillance en temps réel des appels d’API peut être effectuée en dirigeant les journaux CloudTrail vers les journaux CloudWatch et en établissant des filtres de métriques et des alarmes correspondants. Il est recommandé d’établir un filtre de métrique et une alarme pour détecter les modifications apportées aux configurations de CloudTrail. La surveillance des modifications apportées à la configuration AWS Config permet de garantir une visibilité soutenue des éléments de configuration dans le compte AWS.
Gravité : faible
Garantir l’existence d’une alarme et d’un filtre de métrique de journal pour les échecs d’authentification d’AWS Management Console
Description : La surveillance en temps réel des appels d’API peut être effectuée en dirigeant les journaux CloudTrail vers les journaux CloudWatch et en établissant des filtres de métriques et des alarmes correspondants. Il est recommandé d’établir un filtre de métrique et une alarme pour les tentatives d’authentification de console ayant échoué. La surveillance des connexions de console ayant échoué peut réduire le délai de détection d’une tentative de force brute d’informations d’identification, ce qui peut fournir un indicateur, tel que l’adresse IP source, qui peut être utilisé dans d’autres corrélations d’événements.
Gravité : faible
Vérifier l’existence d’une alarme et d’un filtre de métrique de journal pour les changements des listes de contrôle d’accès réseau (NACL)
Description : La surveillance en temps réel des appels d’API peut être effectuée en dirigeant les journaux CloudTrail vers les journaux CloudWatch et en établissant des filtres de métriques et des alarmes correspondants. Les NACL sont utilisées comme un filtre de paquets sans état pour contrôler le trafic d’entrée et de sortie pour les sous-réseaux au sein d’un VPC. Il est recommandé d’établir un filtre de métrique et une alarme pour les modifications apportées aux NACL. La surveillance des modifications apportées aux listes de contrôle d’accès réseau permet de s’assurer que les ressources et services AWS ne sont pas exposés involontairement.
Gravité : faible
Garantir l’existence d’une alarme et d’un filtre de métrique de journal pour les modifications apportées aux passerelles réseau
Description : La surveillance en temps réel des appels d’API peut être effectuée en dirigeant les journaux CloudTrail vers les journaux CloudWatch et en établissant des filtres de métriques et des alarmes correspondants. Les passerelles réseau sont nécessaires pour envoyer/recevoir le trafic vers une destination en dehors d’un VPC. Il est recommandé d’établir un filtre de métrique et une alarme pour les modifications apportées aux passerelles réseau. La surveillance des modifications apportées aux passerelles réseau permet de s’assurer que tout le trafic d’entrée/sortie traverse la frontière DU VPC via un chemin contrôlé.
Gravité : faible
Garantir l’existence d’une alarme et d’un filtre de métrique de journal pour les modifications de la configuration de CloudTrail
Description : La surveillance en temps réel des appels d’API peut être effectuée en dirigeant les journaux CloudTrail vers les journaux CloudWatch et en établissant des filtres de métriques et des alarmes correspondants. Il est recommandé d’établir un filtre de métrique et une alarme pour détecter les modifications apportées aux configurations de CloudTrail.
La surveillance des modifications apportées à la configuration de CloudTrail permet de garantir une visibilité soutenue des activités effectuées dans le compte AWS.
Gravité : faible
Garantir l’existence d’une alarme et d’un filtre de métrique de journal pour la désactivation ou la suppression planifiée des CMK créées par le client
Description : La surveillance en temps réel des appels d’API peut être effectuée en dirigeant les journaux CloudTrail vers les journaux CloudWatch et en établissant des filtres de métriques et des alarmes correspondants. Il est recommandé d’établir un filtre de métrique et une alarme pour les clés CMK créées par le client, qui ont changé d’état en suppression désactivée ou planifiée. Les données chiffrées avec des clés désactivées ou supprimées ne seront plus accessibles.
Gravité : faible
Garantir l’existence d’une alarme et d’un filtre de métrique de journal pour les modifications de stratégie IAM
Description : La surveillance en temps réel des appels d’API peut être effectuée en dirigeant les journaux CloudTrail vers les journaux CloudWatch et en établissant des filtres de métriques et des alarmes correspondants. Il est recommandé d’établir des modifications apportées aux stratégies IAM (Identity and Access Management) d’un filtre de métrique et d’une alarme. La surveillance des modifications apportées aux stratégies IAM permet de garantir que les contrôles d’authentification et d’autorisation restent intacts.
Gravité : faible
Garantir l’existence d’une alarme et d’un filtre de métrique de journal pour la connexion à Management Console sans authentification multifacteur
Description : La surveillance en temps réel des appels d’API peut être effectuée en dirigeant les journaux CloudTrail vers les journaux CloudWatch et en établissant des filtres de métriques et des alarmes correspondants. Il est recommandé d’établir un filtre de métrique et une alarme pour les connexions de console qui ne sont pas protégées par l’authentification multifacteur (MFA). La surveillance des connexions à une console à facteur unique augmente la visibilité des comptes qui ne sont pas protégés par l’authentification multifacteur.
Gravité : faible
Garantir l’existence d’une alarme et d’un filtre de métrique de journal pour les modifications de la table de routage
Description : La surveillance en temps réel des appels d’API peut être effectuée en dirigeant les journaux CloudTrail vers les journaux CloudWatch et en établissant des filtres de métriques et des alarmes correspondants. Les tables de routage sont utilisées pour acheminer le trafic entre les sous-réseaux et les passerelles réseau. Il est recommandé d’établir un filtre de métrique et une alarme pour les modifications apportées aux tables de routage. La surveillance des modifications apportées aux tables de routage permet de s’assurer que tout le trafic DU VPC transite par un chemin attendu.
Gravité : faible
Garantir l’existence d’une alarme et d’un filtre de métrique de journal pour les changements de stratégie des compartiments S3
Description : La surveillance en temps réel des appels d’API peut être effectuée en dirigeant les journaux CloudTrail vers les journaux CloudWatch et en établissant des filtres de métriques et des alarmes correspondants. Il est recommandé d’établir un filtre de métrique et une alarme pour les modifications apportées aux stratégies des compartiments S3. La surveillance des modifications apportées aux stratégies de compartiment S3 peut réduire le temps nécessaire pour détecter et corriger les stratégies permissives sur les compartiments S3 sensibles.
Gravité : faible
Garantir l’existence d’une alarme et d’un filtre de métrique de journal pour les modifications des groupes de sécurité
Description : La surveillance en temps réel des appels d’API peut être effectuée en dirigeant les journaux CloudTrail vers les journaux CloudWatch et en établissant des filtres de métriques et des alarmes correspondants. Les groupes de sécurité sont un filtre de paquets avec état qui contrôle le trafic d’entrée et de sortie au sein d’un VPC. Il est recommandé d’établir un filtre de métrique et une alarme pour les modifications apportées aux groupes de sécurité. La surveillance des modifications apportées au groupe de sécurité permet de s’assurer que les ressources et les services ne sont pas exposés involontairement.
Gravité : faible
Garantir l’existence d’une alarme et d’un filtre de métrique de journal pour les appels d’API non autorisés
Description : La surveillance en temps réel des appels d’API peut être effectuée en dirigeant les journaux CloudTrail vers les journaux CloudWatch et en établissant des filtres de métriques et des alarmes correspondants. Il est recommandé d’établir un filtre de métrique et une alarme pour les appels d’API non autorisés. La surveillance des appels d’API non autorisés permet de révéler des erreurs d’application et peut réduire le temps de détection d’activités malveillantes.
Gravité : faible
Garantir l’existence d’une alarme et d’un filtre de métrique de journal pour l’utilisation du compte « racine »
Description : La surveillance en temps réel des appels d’API peut être effectuée en dirigeant les journaux CloudTrail vers les journaux CloudWatch et en établissant des filtres de métriques et des alarmes correspondants. Il est recommandé d’établir un filtre de métrique et une alarme pour les tentatives de connexion racine.
La surveillance des connexions de compte racine offre une visibilité sur l’utilisation d’un compte entièrement privilégié et une opportunité de réduire l’utilisation de celui-ci.
Gravité : faible
Garantir l’existence d’une alarme et d’un filtre de métrique de journal pour les modifications apportées au VPC
Description : La surveillance en temps réel des appels d’API peut être effectuée en dirigeant les journaux CloudTrail vers les journaux CloudWatch et en établissant des filtres de métriques et des alarmes correspondants. Il est possible d’avoir plusieurs VPC au sein d’un compte, en outre, il est également possible de créer une connexion d’homologue entre 2 VPC, ce qui permet au trafic réseau d’acheminer entre les VPN. Il est recommandé d’établir un filtre de métrique et une alarme pour les modifications apportées aux VPC. La surveillance des modifications apportées aux stratégies IAM permet de garantir que les contrôles d’authentification et d’autorisation restent intacts.
Gravité : faible
Vérifier qu’aucun groupe de sécurité n’autorise l’entrée de 0.0.0.0/0 sur le port 3389
Description : les groupes de sécurité fournissent un filtrage avec état du trafic réseau d’entrée/sortie vers les ressources AWS. Il est recommandé qu’aucun groupe de sécurité n’autorise l’accès d’entrée illimité au port 3389. La suppression de la connectivité sans restriction aux services de console à distance, tels que RDP, réduit l’exposition d’un serveur au risque.
Gravité : élevée
Les bases de données et les clusters RDS ne doivent pas utiliser de port par défaut du moteur de base de données
Description : ce contrôle case activée si le cluster ou l’instance RDS utilise un port autre que le port par défaut du moteur de base de données. Si vous utilisez un port connu pour déployer une instance ou un cluster RDS, un attaquant peut deviner des informations sur le cluster ou l’instance. L’attaquant peut utiliser ces informations conjointement avec d’autres informations pour se connecter à une instance ou un cluster RDS ou obtenir des informations supplémentaires sur votre application. Lorsque vous modifiez le port, vous devez également mettre à jour les chaînes de connexion existantes qui étaient utilisées pour se connecter à l’ancien port. Vous devez également vérifier le groupe de sécurité de l’instance de base de données pour vous assurer qu’il comprend une règle d’entrée qui autorise la connectivité sur le nouveau port.
Gravité : faible
Les instances RDS doivent être déployées dans un VPC
Description : les VPN fournissent un certain nombre de contrôles réseau pour sécuriser l’accès aux ressources RDS. Ces contrôles incluent des points de terminaison VPC, des listes de contrôle d’accès réseau et des groupes de sécurité. Pour tirer parti de ces contrôles, nous vous recommandons de déplacer les instances RDS EC2-Classic vers EC2-VPC.
Gravité : faible
Les compartiments S3 doivent exiger que les demandes utilisent le protocole SSL
Description : Nous vous recommandons d’exiger que les demandes utilisent SSL (Secure Socket Layer) sur tous les compartiments Amazon S3. Les compartiments S3 doivent avoir des stratégies qui exigent que toutes les demandes ('Action: S3:*') acceptent uniquement la transmission de données par HTTPS dans la stratégie de ressources S3, indiquée par la clé de condition « aws:SecureTransport ».
Gravité : moyenne
Les groupes de sécurité ne doivent pas autoriser l’entrée de 0.0.0.0/0 sur le port 22
Description : Pour réduire l’exposition du serveur, il est recommandé de ne pas autoriser l’accès illimité à l’entrée au port « 22 ».
Gravité : élevée
Les groupes de sécurité ne doivent pas autoriser un accès illimité aux ports présentant un risque élevé
Description : ce contrôle case activée indique si le trafic entrant illimité pour les groupes de sécurité est accessible aux ports spécifiés qui présentent le risque le plus élevé. Ce contrôle réussit lorsqu’aucune des règles d’un groupe de sécurité n’autorise le trafic d’entrée de 0.0.0.0/0 pour ces ports. Un accès illimité (0.0.0.0/0) augmente les possibilités d’activités malveillantes, telles que le piratage, les attaques par déni de service et la perte de données. Les groupes de sécurité assurent un filtrage avec état du trafic d’entrée et de sortie vers les ressources AWS. Aucun groupe de sécurité ne doit autoriser un accès illimité aux ports suivants :
- 3389 (RDP)
- 20, 21 (FTP)
- 22 (SSH)
- 23 (Telnet)
- 110 (POP3)
- 143 (IMAP)
- 3306 (MySQL)
- 8080 (proxy)
- 1433, 1434 (MSSQL)
- 9200 ou 9300 (Elasticsearch)
- 5601 (Kibana)
- 25 (SMTP)
- 445 (CIFS)
- 135 (RPC)
- 4333 (ahsp)
- 5432 (postgresql)
- 5500 (fcp-addr-srvr1)
Gravité : moyenne
Les groupes de sécurité doivent uniquement autoriser le trafic entrant illimité pour les ports autorisés
Description : ce contrôle case activée si les groupes de sécurité en cours d’utilisation autorisent le trafic entrant illimité. En option, la règle vérifie si les numéros de port sont répertoriés dans le paramètre « authorizedTcpPorts ».
- Si le numéro de port de règle de groupe de sécurité autorise le trafic entrant illimité, mais que le numéro de port est spécifié dans « authorizedTcpPorts », le contrôle passe. La valeur par défaut de « authorizedTcpPorts » est 80, 443.
- Si le numéro de port de règle de groupe de sécurité autorise le trafic entrant illimité, mais que le numéro de port n’est pas spécifié dans le paramètre d’entrée autoriséTcpPorts, le contrôle échoue.
- Si le paramètre n’est pas utilisé, le contrôle échoue pour tout groupe de sécurité disposant d’une règle entrante illimitée. Les groupes de sécurité assurent un filtrage avec état du trafic d’entrée et de sortie vers AWS. Les règles de groupe de sécurité doivent respecter le principe de l’accès au moins privilégié. Un accès illimité (adresse IP avec un suffixe /0) augmente les possibilités d’activités malveillantes telles que le piratage, les attaques par déni de service et la perte de données. À moins qu’un port ne soit spécifiquement autorisé, le port doit refuser l’accès illimité.
Gravité : élevée
Les EIP EC2 non utilisées doivent être supprimées
Description : Les adresses IP élastiques allouées à un VPC doivent être attachées à des instances Amazon EC2 ou à des interfaces réseau élastiques en cours d’utilisation.
Gravité : faible
Les listes de contrôle d’accès réseau inutilisées doivent être supprimées
Description : ce contrôle case activée s’il existe des listes de contrôle d’accès réseau inutilisées (ACL). Le contrôle vérifie la configuration des éléments de la ressource « AWS::EC2::NetworkAcl » et détermine les relations de la liste de contrôle d’accès réseau. Si la seule relation est le VPC de la liste de contrôle d’accès réseau, le contrôle échoue. Si d’autres relations sont répertoriées, le contrôle réussit.
Gravité : faible
Le groupe de sécurité par défaut du VPC doit restreindre tout le trafic
Description : Le groupe de sécurité doit limiter tout le trafic pour réduire l’exposition des ressources.
Gravité : faible