Suggestions relatives à la sécurité des données

Cet article répertorie toutes les recommandations de sécurité des données que vous pouvez voir dans Microsoft Defender for Cloud.

Les recommandations qui apparaissent dans votre environnement sont basées sur les ressources que vous protégez et sur votre configuration personnalisée. Vous pouvez voir les recommandations dans le portail qui s’appliquent à vos ressources.

Pour en savoir plus sur les actions que vous pouvez entreprendre en réponse à ces recommandations, consultez les recommandations Remediate dans Defender for Cloud.

recommandations en matière de données Azure

Azure Cosmos DB devez désactiver l’accès au réseau public

Description : la désactivation de l’accès au réseau public améliore la sécurité en vous assurant que votre compte Cosmos DB n’est pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de votre compte Cosmos DB. Plus d’informations (Stratégie associée : Azure Cosmos DB doit désactiver l’accès au réseau public).

Gravité : moyenne

(Activer si nécessaire) Azure Cosmos DB comptes doivent utiliser des clés gérées par le client pour chiffrer les données au repos

Description : Les recommandations d’utilisation des clés gérées par le client pour le chiffrement des données au repos ne sont pas évaluées par défaut, mais elles sont disponibles pour les scénarios applicables. Puisque les données sont chiffrées automatiquement à l’aide de clés gérées par la plateforme, l’utilisation de clés gérées par le client doit uniquement être appliquée lorsqu’elle est rendue obligatoire par des exigences de conformité ou de stratégie restrictive. Pour activer cette recommandation, accédez à votre Stratégie de sécurité pour l’étendue applicable et mettez à jour le paramètre Effet de la stratégie correspondante afin d’auditer ou d’appliquer l’utilisation des clés gérées par le client. Pour en savoir plus, consultez Gérer les stratégies de sécurité. Utilisez des clés gérées par le client pour gérer le chiffrement au repos de votre Azure Cosmos DB. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service, mais des clés gérées par le client (CMK) sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés CMK permettent de chiffrer les données avec une clé Azure Key Vault créée et détenue par vous. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus sur le chiffrement par clés gérées par le client, consultez https://aka.ms/cosmosdb-cmk. (Stratégie associée : Azure Cosmos DB comptes doivent utiliser des clés gérées par le client pour chiffrer les données au repos).

Gravité : faible

(Activer si nécessaire) Azure Machine Learning espaces de travail doivent être chiffrés avec une clé gérée par le client (CMK)

Description : Les recommandations d’utilisation des clés gérées par le client pour le chiffrement des données au repos ne sont pas évaluées par défaut, mais elles sont disponibles pour les scénarios applicables. Puisque les données sont chiffrées automatiquement à l’aide de clés gérées par la plateforme, l’utilisation de clés gérées par le client doit uniquement être appliquée lorsqu’elle est rendue obligatoire par des exigences de conformité ou de stratégie restrictive. Pour activer cette recommandation, accédez à votre Stratégie de sécurité pour l’étendue applicable et mettez à jour le paramètre Effet de la stratégie correspondante afin d’auditer ou d’appliquer l’utilisation des clés gérées par le client. Pour en savoir plus, consultez Gérer les stratégies de sécurité. Gérez le chiffrement au repos de vos données d’espace de travail Azure Machine Learning avec des clés gérées par le client (CMK). Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des CMK sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés CMK permettent de chiffrer les données avec une clé Azure Key Vault créée et détenue par vous. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus sur le chiffrement par clés gérées par le client, consultez https://aka.ms/azureml-workspaces-cmk. (Stratégie associée : Azure Machine Learning les espaces de travail doivent être chiffrés avec une clé gérée par le client (CMK)).

Gravité : faible

Azure SQL Database devez exécuter TLS version 1.2 ou ultérieure

Description : la définition de la version TLS sur la version 1.2 ou ultérieure améliore la sécurité en garantissant que votre Azure SQL Database est accessible uniquement à partir de clients utilisant TLS 1.2 ou version ultérieure. L’utilisation de versions de TLS inférieures à 1.2 n’est pas recommandée, car elles ont des vulnérabilités de sécurité bien documentées. (Stratégie associée : Azure SQL Database doit exécuter TLS version 1.2 ou ultérieure).

Gravité : moyenne

Azure SQL Managed Instances doit désactiver l’accès au réseau public

Description : la désactivation de l’accès au réseau public (point de terminaison public) sur Azure SQL Managed Instances améliore la sécurité en veillant à ce qu’elles soient accessibles uniquement à partir de leurs réseaux virtuels ou via des points de terminaison privés. En savoir plus sur l’accès au réseau public. (Stratégie associée : Azure SQL Managed Instances doit désactiver l’accès réseau public).

Gravité : moyenne

Les comptes Cosmos DB doivent utiliser une liaison privée

Description : Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. Lorsque les points de terminaison privés sont mappés à votre compte Cosmos DB, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées. (Stratégie associée : les comptes Cosmos DB doivent utiliser une liaison privée).

Gravité : moyenne

(Activer si nécessaire) Les serveurs MySQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos

Description : Les recommandations d’utilisation des clés gérées par le client pour le chiffrement des données au repos ne sont pas évaluées par défaut, mais elles sont disponibles pour les scénarios applicables. Puisque les données sont chiffrées automatiquement à l’aide de clés gérées par la plateforme, l’utilisation de clés gérées par le client doit uniquement être appliquée lorsqu’elle est rendue obligatoire par des exigences de conformité ou de stratégie restrictive. Pour activer cette recommandation, accédez à votre Stratégie de sécurité pour l’étendue applicable et mettez à jour le paramètre Effet de la stratégie correspondante afin d’auditer ou d’appliquer l’utilisation des clés gérées par le client. Pour en savoir plus, consultez Gérer les stratégies de sécurité. Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos serveurs MySQL. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service, mais des clés gérées par le client (CMK) sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés CMK permettent de chiffrer les données avec une clé Azure Key Vault créée et détenue par vous. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. (Stratégie associée : La protection des données de votre propre clé doit être activée pour les serveurs MySQL.

Gravité : faible

(Activer si nécessaire) Les serveurs PostgreSQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos

Description : Les recommandations d’utilisation des clés gérées par le client pour le chiffrement des données au repos ne sont pas évaluées par défaut, mais elles sont disponibles pour les scénarios applicables. Puisque les données sont chiffrées automatiquement à l’aide de clés gérées par la plateforme, l’utilisation de clés gérées par le client doit uniquement être appliquée lorsqu’elle est rendue obligatoire par des exigences de conformité ou de stratégie restrictive. Pour activer cette recommandation, accédez à votre Stratégie de sécurité pour l’étendue applicable et mettez à jour le paramètre Effet de la stratégie correspondante afin d’auditer ou d’appliquer l’utilisation des clés gérées par le client. Pour en savoir plus, consultez Gérer les stratégies de sécurité. Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos serveurs PostgreSQL. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service, mais des clés gérées par le client (CMK) sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés CMK permettent de chiffrer les données avec une clé Azure Key Vault créée et détenue par vous. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. (Stratégie associée : L’activation de votre propre protection des données clés doit être activée pour les serveurs PostgreSQL.

Gravité : faible

(Activer si nécessaire) Les instances managées SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos

Description : Les recommandations d’utilisation des clés gérées par le client pour le chiffrement des données au repos ne sont pas évaluées par défaut, mais elles sont disponibles pour les scénarios applicables. Puisque les données sont chiffrées automatiquement à l’aide de clés gérées par la plateforme, l’utilisation de clés gérées par le client doit uniquement être appliquée lorsqu’elle est rendue obligatoire par des exigences de conformité ou de stratégie restrictive. Pour activer cette recommandation, accédez à votre Stratégie de sécurité pour l’étendue applicable et mettez à jour le paramètre Effet de la stratégie correspondante afin d’auditer ou d’appliquer l’utilisation des clés gérées par le client. Pour en savoir plus, consultez Gérer les stratégies de sécurité. L’implémentation de Transparent Data Encryption (TDE) avec votre propre clé vous offre une transparence et un contrôle accrus sur le protecteur TDE, une sécurité accrue avec un service externe soutenu par HSM et la promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée. (Stratégie associée : Les instances managées SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos).

Gravité : faible

(Activer si nécessaire) Les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos

Description : Les recommandations d’utilisation des clés gérées par le client pour le chiffrement des données au repos ne sont pas évaluées par défaut, mais elles sont disponibles pour les scénarios applicables. Puisque les données sont chiffrées automatiquement à l’aide de clés gérées par la plateforme, l’utilisation de clés gérées par le client doit uniquement être appliquée lorsqu’elle est rendue obligatoire par des exigences de conformité ou de stratégie restrictive. Pour activer cette recommandation, accédez à votre Stratégie de sécurité pour l’étendue applicable et mettez à jour le paramètre Effet de la stratégie correspondante afin d’auditer ou d’appliquer l’utilisation des clés gérées par le client. Pour en savoir plus, consultez Gérer les stratégies de sécurité. L’implémentation de Transparent Data Encryption (TDE) avec votre propre clé offre une transparence et un contrôle accrus sur le protecteur TDE, une sécurité accrue avec un service externe soutenu par HSM et la promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée. (Stratégie associée : Les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos.

Gravité : faible

(Activer si nécessaire) Les comptes de stockage doivent utiliser la clé gérée par le client (CMK) pour le chiffrement

Description : Les recommandations d’utilisation des clés gérées par le client pour le chiffrement des données au repos ne sont pas évaluées par défaut, mais elles sont disponibles pour les scénarios applicables. Puisque les données sont chiffrées automatiquement à l’aide de clés gérées par la plateforme, l’utilisation de clés gérées par le client doit uniquement être appliquée lorsqu’elle est rendue obligatoire par des exigences de conformité ou de stratégie restrictive. Pour activer cette recommandation, accédez à votre Stratégie de sécurité pour l’étendue applicable et mettez à jour le paramètre Effet de la stratégie correspondante afin d’auditer ou d’appliquer l’utilisation des clés gérées par le client. Pour en savoir plus, consultez Gérer les stratégies de sécurité. Sécurisez votre compte de stockage avec une plus grande flexibilité en utilisant des clés gérées par le client (clés CMK). Quand vous spécifiez une clé CMK, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. L’utilisation de clés CMK fournit des fonctionnalités supplémentaires permettant de contrôler la permutation de la clé de chiffrement de clé ou d’effacer des données par chiffrement. (Stratégie associée : Les comptes de stockage doivent utiliser la clé gérée par le client (CMK) pour le chiffrement).

Gravité : faible

L’accès public au compte de stockage doit être interdit

Description : Accès en lecture publique anonyme aux conteneurs et aux objets blob dans stockage Azure est un moyen pratique de partager des données, mais peut présenter des risques de sécurité. Pour éviter les violations de données provoquées par l’accès anonyme non souhaité, Microsoft recommande d’empêcher l’accès public à un compte de stockage, sauf si votre scénario l’exige.

Stratégie associée : l’accès public du compte de stockage doit être interdit

Gravité : moyenne

Tous les types de protection des menaces avancées doivent être activés dans les paramètres de sécurité avancée des données de SQL Managed Instance

Description : il est recommandé d’activer tous les types de protection avancée contre les menaces sur vos instances managées SQL. L’activation de tous les types offre une protection contre l’injection SQL, les vulnérabilités de base de données et toute autre activité anormale. (Aucune stratégie associée)

Gravité : moyenne

Tous les types de protection des menaces avancée doivent être activés dans les paramètres de sécurité avancée des données du serveur SQL

Description : il est recommandé d’activer tous les types de protection avancée contre les menaces sur vos serveurs SQL. L’activation de tous les types offre une protection contre l’injection SQL, les vulnérabilités de base de données et toute autre activité anormale. (Aucune stratégie associée)

Gravité : moyenne

Les services Gestion des API doivent utiliser un réseau virtuel

Description : Réseau virtuel Azure déploiement offre une sécurité, une isolation améliorées et vous permet de placer votre service Gestion des API dans un réseau routable non Internet auquel vous contrôlez l’accès. Ces réseaux peuvent ensuite être connectés à vos réseaux locaux au moyen de différentes technologies VPN, ce qui permet d’accéder à vos services back-end au sein du réseau et/ou localement. Le portail des développeurs et la passerelle API peuvent être configurés pour être accessibles sur Internet ou uniquement au sein du réseau virtuel. (Stratégie associée : Gestion des API services doivent utiliser un réseau virtuel).

Gravité : moyenne

App Configuration doit utiliser une liaison privée

Description : Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme de liaison privée gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à vos instances de configuration d’application plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. (Stratégie associée : App Configuration doit utiliser une liaison privée).

Gravité : moyenne

La conservation des audits pour les serveurs SQL Server doit être définie sur au moins 90 jours

Description : Auditer les serveurs SQL configurés avec une période de rétention d’audit inférieure à 90 jours. (Stratégie associée : Les serveurs SQL doivent être configurés avec une période de conservation d’audit de 90 jours au moins.)

Gravité : faible

L’audit sur SQL Server doit être activé

Description : activez l’audit sur votre SQL Server pour suivre les activités de base de données sur toutes les bases de données du serveur et les enregistrer dans un journal d’audit. (Stratégie associée : L’audit sur SQL Server doit être activé).

Gravité : faible

L’approvisionnement automatique de l’agent Log Analytics doit être activé sur les abonnements

Description : pour surveiller les vulnérabilités et menaces de sécurité, Microsoft Defender for Cloud collecte des données à partir de vos machines virtuelles Azure. Les données sont collectées par l’agent Log Analytics, anciennement appelé Microsoft Monitoring Agent (MMA), qui lit diverses configurations et journaux d’événements liés à la sécurité à partir de l’ordinateur et copie les données dans votre espace de travail Log Analytics à des fins d’analyse. Nous vous recommandons d’activer l’approvisionnement automatique pour déployer automatiquement l’agent sur toutes les machines virtuelles prises en charge Azure et les nouvelles machines virtuelles créées. (Stratégie associée : Approvisionnement automatique de l’agent Log Analytics doit être activé sur votre abonnement).

Gravité : faible

Azure Cache pour Redis doit résider dans un réseau virtuel

Description : le déploiement de Réseau virtuel Azure (VNet) offre une sécurité et une isolation améliorées pour votre Azure Cache pour Redis, ainsi que des sous-réseaux, des stratégies de contrôle d’accès et d’autres fonctionnalités pour restreindre davantage l’accès. Lorsqu’une instance de Azure Cache pour Redis est configurée avec un réseau virtuel, elle n’est pas adressable publiquement et est accessible uniquement à partir de machines virtuelles et d’applications au sein du réseau virtuel. (Stratégie associée : Azure Cache pour Redis doit résider dans un réseau virtuel).

Gravité : moyenne

Azure Database pour MySQL devez disposer d’un administrateur Microsoft Entra provisionné

Description : provisionnez un administrateur Microsoft Entra pour votre Azure Database pour MySQL pour activer l’authentification Microsoft Entra. Microsoft Entra l’authentification permet la gestion simplifiée des autorisations et la gestion centralisée des identités des utilisateurs de base de données et d’autres services Microsoft (stratégie associée : a Microsoft Entra administrateur doit être approvisionné pour les serveurs MySQL).

Gravité : moyenne

Azure Database pour PostgreSQL devez disposer d’un administrateur de Microsoft Entra provisionné

Description : provisionnez un administrateur Microsoft Entra pour votre Azure Database pour PostgreSQL pour activer l’authentification Microsoft Entra. Microsoft Entra l’authentification permet de simplifier la gestion des autorisations et de centraliser la gestion des identités des utilisateurs de base de données et d’autres services Microsoft
(Stratégie associée : a administrateur Microsoft Entra doit être approvisionné pour les serveurs PostgreSQL).

Gravité : moyenne

Azure Database pour PostgreSQL serveur flexible doit avoir Microsoft Entra authentification activée uniquement

Description : désactiver les méthodes d’authentification locales et exiger que l’authentification Microsoft Entra améliore la sécurité en garantissant que Azure Database pour PostgreSQL serveur flexible est accessible uniquement par des identités Microsoft Entra (stratégie associée : Azure Le serveur flexible PostgreSQL doit avoir activé Microsoft Entra uniquement l’authentification).

Gravité : moyenne

Azure Cosmos DB comptes doivent avoir des règles de pare-feu

Description : les règles de pare-feu doivent être définies sur vos comptes Azure Cosmos DB pour empêcher le trafic provenant de sources non autorisées. Les comptes qui possèdent au moins une règle IP définie avec le filtre de réseau virtuel activé sont considérés comme conformes. Les comptes qui désactivent l’accès public sont également jugés conformes. (Stratégie associée : Azure Cosmos DB comptes doivent avoir des règles de pare-feu).

Gravité : moyenne

Azure Event Grid domaines doivent utiliser une liaison privée

Description : Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme de liaison privée gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant les points de terminaison privés à vos domaines Event Grid plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. (Stratégie associée : Azure Event Grid domaines doivent utiliser une liaison privée).

Gravité : moyenne

Azure Event Grid rubriques doivent utiliser une liaison privée

Description : Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme de liaison privée gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à vos rubriques plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. (Stratégie associée : Azure Event Grid rubriques doivent utiliser une liaison privée).

Gravité : moyenne

Azure Machine Learning espaces de travail doivent utiliser une liaison privée

Description : Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme de liaison privée gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à vos espaces de travail Azure Machine Learning au lieu de l'ensemble du service, vous serez également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azureml-workspaces-privatelink. (Stratégie associée : Azure Machine Learning espaces de travail doivent utiliser une liaison privée).

Gravité : moyenne

Azure SignalR Service devez utiliser une liaison privée

Description : Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme de liaison privée gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à vos ressources SignalR plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/asrs/privatelink. (Stratégie associée : Azure SignalR Service devez utiliser une liaison privée).

Gravité : moyenne

Azure Spring Cloud doit utiliser l’injection de réseau

Description : Azure instances Spring Cloud doivent utiliser l’injection de réseau virtuel à des fins suivantes : 1. Isolez Azure Spring Cloud à partir d’Internet. 2. Activez Azure Spring Cloud pour interagir avec les systèmes dans des centres de données locaux ou Azure service dans d’autres réseaux virtuels. 3. Permettre aux clients de contrôler les communications réseau entrantes et sortantes pour Azure Spring Cloud. (Stratégie associée : Azure Spring Cloud doit utiliser l’injection de réseau).

Gravité : moyenne

Les serveurs SQL doivent disposer d’un administrateur Microsoft Entra provisionné

Description : provisionnez un administrateur Microsoft Entra pour votre serveur SQL pour activer l’authentification Microsoft Entra. Microsoft Entra l’authentification permet de simplifier la gestion des autorisations et de centraliser la gestion des identités des utilisateurs de base de données et d’autres services Microsoft. (Stratégie associée : a Microsoft Entra administrateur doit être approvisionné pour les serveurs SQL).

Gravité : élevée

Azure Synapse mode d’authentification de l’espace de travail doit être Microsoft Entra ID uniquement

Description : Azure Synapse mode d’authentification espace de travail doit être Microsoft Entra ID uniquement Microsoft Entra ID seules les méthodes d’authentification améliorent la sécurité en garantissant que les espaces de travail Synapse nécessitent exclusivement des identités Microsoft Entra ID pour Authentification. Plus d’informations (Stratégie associée : Synapse Workspaces doit utiliser uniquement les identités Microsoft Entra ID pour l’authentification).

Gravité : moyenne

Les dépôts de code doivent avoir les résultats de l’analyse du code résolus

Description : Defender pour DevOps a détecté des vulnérabilités dans les référentiels de code. Pour améliorer la posture de sécurité des dépôts, il est vivement recommandé de corriger ces vulnérabilités. (Aucune stratégie associée)

Gravité : moyenne

Les dépôts de code doivent avoir les résultats de l’analyse Dependabot résolus

Description : Defender pour DevOps a détecté des vulnérabilités dans les référentiels de code. Pour améliorer la posture de sécurité des dépôts, il est vivement recommandé de corriger ces vulnérabilités. (Aucune stratégie associée)

Gravité : moyenne

Les dépôts de code doivent avoir les résultats de l’analyse de l’infrastructure en tant que code résolus

Description : Defender pour DevOps a trouvé l’infrastructure en tant que problèmes de configuration de sécurité du code dans les référentiels. Les problèmes indiqués ci-dessous ont été détectés dans des fichiers de modèle. Pour améliorer la posture de sécurité des ressources cloud associées, il est vivement recommandé de corriger ces problèmes. (Aucune stratégie associée)

Gravité : moyenne

Les dépôts de code doivent avoir les résultats de l’analyse des secrets résolus

Description : Defender pour DevOps a trouvé un secret dans les référentiels de code. Cela doit être corrigé immédiatement pour éviter une violation de la sécurité. Les secrets détectés dans les dépôts peuvent être divulgués ou découverts par des adversaires, ce qui peut compromettre une application ou d’un service. Pour Azure DevOps, l’outil Sécurité Microsoft DevOps CredScan analyse uniquement les builds sur lesquelles il a été configuré pour s’exécuter. Par conséquent, les résultats peuvent ne pas refléter l’état complet des secrets dans vos dépôts. (Aucune stratégie associée)

Gravité : élevée

Les comptes Cognitive Services doivent activer le chiffrement des données

Description : cette stratégie audite tous les comptes Cognitive Services qui n’utilisent pas le chiffrement des données. Pour chaque compte avec stockage, vous devez activer le chiffrement des données avec une clé gérée par le client ou Microsoft gérée. (Stratégie associée : Les comptes Cognitive Services doivent activer le chiffrement des données).

Gravité : faible

Les comptes Cognitive Services doivent utiliser le stockage appartenant au client ou activer le chiffrement des données

Description : cette stratégie audite tout compte Cognitive Services qui n’utilise pas le stockage appartenant au client ni le chiffrement des données. Pour chaque compte Cognitive Services avec stockage, utilisez le stockage appartenant au client ou activez le chiffrement des données. S’aligne sur Microsoft Cloud benchmark de sécurité. (Stratégie associée : Les comptes Cognitive Services doivent utiliser le stockage appartenant au client ou activer le chiffrement des données)

Gravité : faible

Les journaux de diagnostic dans Azure Data Lake Store doivent être activés

Description : activez les journaux et conservez-les pendant un an. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. (Stratégie associée : Les journauxDiagnostic dans Azure Data Lake Store doivent être activés).

Gravité : faible

Les journaux de diagnostic dans Data Lake Analytics doivent être activés

Description : activez les journaux et conservez-les pendant un an. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. (Stratégie associée : Les journauxDiagnostic dans Data Lake Analytics doivent être activés).

Gravité : faible

La notification par e-mail pour les alertes à gravité élevée doit être activée

Description : pour vous assurer que les personnes concernées de votre organisation sont averties lorsqu’il existe une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes de gravité élevée dans Defender for Cloud. (Stratégie associée : La notification par e-mail pour les alertes de gravité élevée doit être activée).

Gravité : faible

La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée

Description : pour vous assurer que vos propriétaires d’abonnements sont avertis lorsqu’il existe une violation de sécurité potentielle dans leur abonnement, définissez des notifications par e-mail aux propriétaires d’abonnements pour les alertes de gravité élevée dans Defender for Cloud. (Stratégie associée : La notification par e-mail au propriétaire de l’abonnement pour les alertes de gravité élevée doit être activée).

Gravité : moyenne

L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL

Description : Azure Database pour MySQL prend en charge la connexion de votre serveur Azure Database pour MySQL aux applications clientes à l’aide du protocole SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. (Stratégie associée : Appliquer la connexion SSL doit être activée pour les serveurs de base de données MySQL.

Gravité : moyenne

L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL

Description : Azure Database pour PostgreSQL prend en charge la connexion de votre serveur Azure Database pour PostgreSQL aux applications clientes à l’aide du protocole SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. (Stratégie associée : L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL.

Gravité : moyenne

Les vulnérabilités des applications de fonction doivent être résolues

Description : l’analyse des vulnérabilités du runtime pour les fonctions analyse vos applications de fonction pour détecter les vulnérabilités de sécurité et expose des résultats détaillés. La résolution des vulnérabilités peut améliorer significativement la sécurité de vos applications sans serveur et les protéger contre les attaques. (Aucune stratégie associée)

Gravité : élevée

La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL

Description : Azure Database pour MySQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région appairée afin de proposer plusieurs possibilités de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création d’un serveur. (Stratégie associée : La sauvegarde redondante géoredondante doit être activée pour Azure Database pour MySQL).

Gravité : faible

La sauvegarde géoredondante doit être activée pour Azure Database pour PostgreSQL

Description : Azure Database pour PostgreSQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région appairée afin de proposer plusieurs possibilités de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création d’un serveur. (Stratégie associée : La sauvegarde géoredondante doit être activée pour Azure Database pour PostgreSQL).

Gravité : faible

GitHub référentiels doivent avoir activé l’analyse du code

Description : GitHub utilise l’analyse du code pour analyser le code afin de rechercher des vulnérabilités et des erreurs de sécurité dans le code. L’analyse du code peut être utilisée pour rechercher, trier et hiérarchiser les correctifs pour les problèmes existants dans votre code. L’analyse du code peut également empêcher les développeurs d’introduire de nouveaux problèmes. Des analyses peuvent être planifiées pour des jours et heures spécifiques, ou être déclenchées lorsqu’un événement spécifique se produit dans le dépôt, tel qu’un envoi (push). Si l’analyse du code détecte une vulnérabilité ou une erreur potentielle dans le code, GitHub affiche une alerte dans le référentiel. Une vulnérabilité est un problème dans le code d’un projet qui pourrait être exploité pour endommager la confidentialité, l’intégrité ou la disponibilité du projet. (Aucune stratégie associée)

Gravité : moyenne

GitHub référentiels doivent avoir activé l’analyse de Dependabot

Description : GitHub envoie des alertes Dependabot lorsqu’elle détecte les vulnérabilités dans les dépendances de code qui affectent les référentiels. Une vulnérabilité est un problème dans le code d’un projet qui pourrait être exploité pour altérer la confidentialité, l’intégrité ou la disponibilité du projet ou d’autres projets qui utilisent son code. Les vulnérabilités varient en fonction du type, de la gravité et de la méthode d’attaque. Quand le code dépend d’un package qui présente une faille de sécurité, cette dépendance vulnérable peut entraîner une série de problèmes. (Aucune stratégie associée)

Gravité : moyenne

GitHub référentiels doivent avoir activé l’analyse des secrets

Description : GitHub analyse les référentiels pour les types connus de secrets, afin d’empêcher l’utilisation frauduleuse de secrets qui ont été accidentellement validés dans les référentiels. L’analyse des secrets analyse l’intégralité de l’historique Git sur toutes les branches présentes dans le référentiel GitHub pour les secrets. Les jetons et les clés privées qu’un fournisseur de services peut émettre pour l’authentification sont des exemples de secrets. Si un secret est archivé dans un dépôt, toute personne disposant d’un accès en lecture au dépôt peut utiliser le secret pour accéder au service externe avec ces privilèges. Les secrets doivent être stockés dans un emplacement dédié et sécurisé en dehors du dépôt du projet. (Aucune stratégie associée)

Gravité : élevée

Microsoft Defender pour les serveurs Azure SQL Database doivent être activés

Description : Microsoft Defender pour SQL est un package unifié qui fournit des fonctionnalités de sécurité SQL avancées. Il inclut des fonctionnalités permettant d’exposer et de corriger des vulnérabilités potentielles de votre base de données, de détecter des activités anormales susceptibles d’indiquer une menace pour votre base de données, et de découvrir et classer des données sensibles.

Les protections de ce plan sont facturées comme indiqué dans la page Defender plans. Si vous n'avez pas de serveurs Azure SQL Database dans cet abonnement, vous ne serez pas facturé. Si vous créez ultérieurement des serveurs Azure SQL Database sur cet abonnement, ils seront automatiquement protégés et les frais commenceront. En savoir plus sur les détails de tarification par région.

En savoir plus dans Introduction pour Microsoft Defender pour SQL. (Stratégie associée : Azure Defender pour les serveurs Azure SQL Database doivent être activés).

Gravité : élevée

Microsoft Defender pour DNS doit être activé

Description : Microsoft Defender pour DNS fournit une couche supplémentaire de protection pour vos ressources cloud en surveillant en continu toutes les requêtes DNS de vos ressources Azure. Defender pour les alertes DNS vous concernant l’activité suspecte au niveau de la couche DNS. En savoir plus dans Introduction pour Microsoft Defender pour DNS. L’activation de ce plan Defender entraîne des frais. Découvrez les détails de tarification par région sur la page de tarification de Defender for Cloud : Defender for Cloud Tarification. (Aucune stratégie associée)

Gravité : élevée

Microsoft Defender pour les bases de données relationnelles open source doivent être activées

Description : Microsoft Defender pour les bases de données relationnelles open source détecte des activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation de bases de données. En savoir plus dans Introduction pour Microsoft Defender pour les bases de données relationnelles open source.

L’activation de ce plan entraîne des frais de protection de vos bases de données relationnelles open source. Si vous n’avez pas de bases de données relationnelles open source dans cet abonnement, aucuns frais ne seront encourus. Si vous créez par la suite des bases de données relationnelles open source sur cet abonnement, celles-ci seront automatiquement protégées et la facturation commencera à ce moment-là. (Aucune stratégie associée)

Gravité : élevée

Microsoft Defender pour Resource Manager doit être activé

Description : Microsoft Defender pour Resource Manager surveille automatiquement les opérations de gestion des ressources dans votre organisation. Defender for Cloud détecte les menaces et vous avertit des activités suspectes. En savoir plus dans Introduction pour Microsoft Defender pour Resource Manager. L’activation de ce plan Defender entraîne des frais. Découvrez les détails de tarification par région sur la page de tarification de Defender for Cloud : Defender for Cloud Tarification. (Aucune stratégie associée)

Gravité : élevée

Microsoft Defender pour SQL sur les machines doit être activée sur les espaces de travail

Description : Microsoft Defender pour les serveurs apporte une détection des menaces et des défenses avancées pour vos machines Windows et Linux. Avec ce plan Defender activé sur vos abonnements, mais pas sur vos espaces de travail, vous payez pour la pleine capacité de Microsoft Defender pour les serveurs, mais manquez certains des avantages. Lorsque vous activez Microsoft Defender pour les serveurs sur un espace de travail, toutes les machines signalant à cet espace de travail seront facturées pour Microsoft Defender pour les serveurs, même s'ils se trouveraient dans des abonnements sans Defender plans activés. Sauf si vous activez également Microsoft Defender pour les serveurs sur l'abonnement, ces machines ne pourront pas tirer parti de l'accès juste-à-temps aux machines virtuelles, des contrôles d'application adaptatifs et des détections réseau pour les ressources Azure. En savoir plus dans Introduction pour Microsoft Defender pour les serveurs. (Aucune stratégie associée)

Gravité : moyenne

Microsoft Defender pour les serveurs SQL sur les machines doit être activé

Description : Microsoft Defender pour SQL est un package unifié qui fournit des fonctionnalités de sécurité SQL avancées. Il inclut des fonctionnalités permettant d’exposer et de corriger des vulnérabilités potentielles de votre base de données, de détecter des activités anormales susceptibles d’indiquer une menace pour votre base de données, et de découvrir et classer des données sensibles.

L’application de cette recommandation entraîne des frais pour la protection de vos serveurs SQL. Si vous n’avez pas serveur SQL dans cet abonnement, cela n’entraîne pas de frais. Si vous créez des serveurs SQL sur des machines de cet abonnement à l’avenir, ceux-ci seront automatiquement protégés et des frais seront facturés à ce moment-là. En savoir plus sur Microsoft Defender pour les serveurs SQL sur les machines. (Stratégie associée : Azure Defender pour les serveurs SQL sur les machines doit être activée).

Gravité : élevée

Microsoft Defender pour SQL doit être activé pour les serveurs Azure SQL non protégés

Description : Microsoft Defender pour SQL est un package unifié qui fournit des fonctionnalités de sécurité SQL avancées. Il présente et corrige les vulnérabilités de base de données, et détecte les activités anormales susceptibles d’indiquer une menace pesant sur votre base de données. Microsoft Defender pour SQL est facturé comme indiqué dans les détails de pricing par région. (Stratégie associée : La sécurité avancée des données doit être activée sur vos serveurs SQL).

Gravité : élevée

Microsoft Defender pour SQL doit être activé pour les instances managées SQL non protégées

Description : Microsoft Defender pour SQL est un package unifié qui fournit des fonctionnalités de sécurité SQL avancées. Il présente et corrige les vulnérabilités de base de données, et détecte les activités anormales susceptibles d’indiquer une menace pesant sur votre base de données. Microsoft Defender pour SQL est facturé comme indiqué dans les détails de pricing par région. (Stratégie associée : Sécurité des donnéesadvanced doit être activée sur SQL Managed Instance).

Gravité : élevée

Microsoft Defender pour le stockage doit être activé

Description : Microsoft Defender pour le stockage détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes de stockage.

Les protections de ce plan sont facturées comme indiqué dans la page Defender plans. Si vous n'avez pas de comptes stockage Azure dans cet abonnement, vous ne serez pas facturé. Si vous créez ultérieurement des comptes stockage Azure sur cet abonnement, ils seront automatiquement protégés et les frais commenceront. En savoir plus sur les détails de tarification par région. En savoir plus dans Introduction pour Microsoft Defender pour le stockage. (Stratégie associée : Azure Defender pour le stockage doit être activée).

Gravité : élevée

Network Watcher doit être activé

Description : Network Watcher est un service régional qui vous permet de surveiller et diagnostiquer les conditions au niveau d’un scénario réseau, vers et depuis Azure. La supervision au niveau du scénario vous permet de diagnostiquer les problèmes au niveau du réseau de bout en bout. Les outils de diagnostic et de visualisation réseau disponibles avec Network Watcher vous aident à comprendre, diagnostiquer et obtenir des insights sur votre réseau dans Azure. (Stratégie associée : Network Watcher doit être activée).

Gravité : faible

Les connexions de point de terminaison privé sur Azure SQL Database doivent être activées

Description : les connexions de point de terminaison privé appliquent une communication sécurisée en activant la connectivité privée à Azure SQL Database. (Stratégie associée : Connexions de point de terminaisonPrivate sur Azure SQL Database doivent être activées).

Gravité : moyenne

Le point de terminaison privé doit être activé pour les serveurs MySQL

Description : les connexions de point de terminaison privé appliquent une communication sécurisée en activant la connectivité privée à Azure Database pour MySQL. Configurez une connexion de point de terminaison privé pour activer l’accès au trafic provenant uniquement des réseaux connus et empêcher l’accès à toutes les autres adresses IP, y compris dans Azure. (Stratégie associée : Le point de terminaison privé doit être activé pour les serveurs MySQL.

Gravité : moyenne

Le point de terminaison privé doit être activé pour les serveurs PostgreSQL

Description : les connexions de point de terminaison privé appliquent une communication sécurisée en activant la connectivité privée à Azure Database pour PostgreSQL. Configurez une connexion de point de terminaison privé pour activer l’accès au trafic provenant uniquement des réseaux connus et empêcher l’accès à toutes les autres adresses IP, y compris dans Azure. (Stratégie associée : Le point de terminaison privé doit être activé pour les serveurs PostgreSQL.

Gravité : moyenne

L’accès au réseau public sur Azure SQL Database doit être désactivé

Description : la désactivation de la propriété d’accès réseau public améliore la sécurité en garantissant que votre Azure SQL Database est accessible uniquement à partir d’un point de terminaison privé. Cette configuration interdit toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. (Stratégie associée : Un accès réseau public sur Azure SQL Database doit être désactivé).

Gravité : moyenne

L’accès au réseau public doit être désactivé pour les comptes Cognitive Services

Description : cette stratégie audite n’importe quel compte Cognitive Services dans votre environnement avec l’accès au réseau public activé. L’accès au réseau public doit être désactivé afin que seules les connexions à partir des points de terminaison privés soient autorisées. (Stratégie associée : L’accès au réseau public doit être désactivé pour les comptes Cognitive Services.

Gravité : moyenne

L’accès au réseau public doit être désactivé pour les serveurs MySQL

Description : désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vérifiez que votre Azure Database pour MySQL est accessible uniquement à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de n’importe quel espace d’adressage public en dehors de Azure plage d’adresses IP et refuse toutes les connexions qui correspondent aux règles de pare-feu ip ou de pare-feu basées sur un réseau virtuel. (Stratégie associée : L’accès au réseau public doit être désactivé pour les serveurs MySQL.

Gravité : moyenne

L’accès au réseau public doit être désactivé pour les serveurs PostgreSQL

Description : désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vérifiez que votre Azure Database pour PostgreSQL est accessible uniquement à partir d’un point de terminaison privé. Cette configuration désactive l’accès à partir de n’importe quel espace d’adressage public en dehors de Azure plage d’adresses IP et refuse toutes les connexions qui correspondent aux règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. (Stratégie associée : L’accès au réseau public doit être désactivé pour les serveurs PostgreSQL.

Gravité : moyenne

Le cache Redis doit autoriser l’accès uniquement via SSL

Description : activez uniquement les connexions via SSL vers le cache Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session). (Stratégie associée : Les connexions sécurisées à votre Azure Cache pour Redis doivent être activées).

Gravité : élevée

Les résultats des vulnérabilités des bases de données SQL doivent être résolus

Description : l’évaluation des vulnérabilités SQL analyse votre base de données pour détecter les vulnérabilités de sécurité et expose les écarts des meilleures pratiques telles que les mauvaises configurations, les autorisations excessives et les données sensibles non protégées. La résolution des vulnérabilités détectées peut améliorer considérablement la posture de sécurité de votre base de données. En savoir plus (Stratégie associée : Les vulnérabilités sur vos bases de données SQL doivent être corrigées).

Gravité : élevée

L’évaluation des vulnérabilités doit être configurée pour les instances gérées SQL

Description : l’évaluation des vulnérabilités peut découvrir, suivre et vous aider à corriger les vulnérabilités potentielles de la base de données. (Stratégie associée : l’évaluation de lavulnerabilité doit être activée sur SQL Managed Instance).

Gravité : élevée

Les résultats des vulnérabilités des serveurs SQL Server sur les machines doivent être résolus

Description : l’évaluation des vulnérabilités SQL analyse votre base de données pour détecter les vulnérabilités de sécurité et expose les écarts des meilleures pratiques telles que les mauvaises configurations, les autorisations excessives et les données sensibles non protégées. La résolution des vulnérabilités détectées peut améliorer considérablement la posture de sécurité de votre base de données. En savoir plus (Stratégie associée : Les vulnérabilités sur vos serveurs SQL sur l’ordinateur doivent être corrigées).

Gravité : élevée

Les serveurs SQL doivent disposer d’un administrateur Microsoft Entra provisionné

Description : provisionnez un administrateur Microsoft Entra pour votre serveur SQL pour activer l’authentification Microsoft Entra. Microsoft Entra l’authentification permet de simplifier la gestion des autorisations et de centraliser la gestion des identités des utilisateurs de base de données et d’autres services Microsoft. (Stratégie associée : a Microsoft Entra administrateur doit être approvisionné pour les serveurs SQL).

Gravité : élevée

L’évaluation des vulnérabilités doit être configurée pour les serveurs SQL

Description : l’évaluation des vulnérabilités peut découvrir, suivre et vous aider à corriger les vulnérabilités potentielles de la base de données. (Stratégie associée : L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL).

Gravité : élevée

Le compte de stockage doit utiliser une connexion de liaison privée

Description : Les liaisons privées appliquent une communication sécurisée, en fournissant une connectivité privée au compte de stockage (stratégie associée : le compte de stockage doit utiliser une connexion de liaison privée).

Gravité : moyenne

Les comptes de stockage doivent être migrés vers de nouvelles ressources Azure Resource Manager

Description : Pour bénéficier de nouvelles fonctionnalités dans Azure Resource Manager, vous pouvez migrer des déploiements existants à partir du modèle de déploiement Classique. Resource Manager permet des améliorations de sécurité telles que : contrôle d’accès plus fort (RBAC), meilleur audit, déploiement et gouvernance basés sur ARM, accès aux identités managées, accès au coffre de clés pour les secrets, Azure l’authentification ad et prise en charge des balises et des groupes de ressources pour faciliter la gestion de la sécurité. Learn plus (stratégie associée : Les comptesStorage doivent être migrés vers de nouvelles ressources Azure Resource Manager).

Gravité : faible

Les comptes de stockage doivent empêcher l’accès à la clé partagée

Description : exigence d’audit de Microsoft Entra ID (Microsoft Entra ID) pour autoriser les demandes de votre compte de stockage. Par défaut, les demandes peuvent être autorisées avec des informations d’identification Microsoft Entra ID ou à l’aide de la clé d’accès de compte pour l’autorisation de clé partagée. De ces deux types d’autorisation, Microsoft Entra ID offre une sécurité et une facilité d’utilisation supérieures sur la clé partagée, et est recommandée par Microsoft. (Stratégie associée : stratégie)

Gravité : moyenne

Les comptes de stockage doivent utiliser des règles de réseau virtuel pour restreindre l’accès au réseau

Description : Protégez vos comptes de stockage contre les menaces potentielles à l’aide de règles de réseau virtuel comme méthode préférée au lieu du filtrage basé sur IP. La désactivation du filtrage basé sur IP empêche les IP publiques d’accéder à vos comptes de stockage. (Stratégie associée : Les comptes de stockage doivent restreindre l’accès réseau à l’aide de règles de réseau virtuel).

Gravité : moyenne

Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité

Description : pour vous assurer que les personnes concernées de votre organisation sont averties lorsqu’une violation de sécurité potentielle se produit dans l’un de vos abonnements, définissez un contact de sécurité pour recevoir des notifications par e-mail de Defender for Cloud. (Stratégie associée : Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité)

Gravité : faible

Transparent Data Encryption sur les bases de données SQL doit être activée

Description : activez transparent data encryption pour protéger les données au repos et répondre aux exigences de conformité (stratégie associée : Transparent Data Encryption sur les bases de données SQL doivent être activées).

Gravité : faible

Les modèles VM Image Builder doivent utiliser une liaison privée

Description : Auditez les modèles Image Builder de machine virtuelle qui n’ont pas de réseau virtuel configuré. Lorsqu’un réseau virtuel n’est pas configuré, une adresse IP publique est créée et utilisée à la place, ce qui peut exposer directement des ressources à Internet et augmenter la surface d’attaque potentielle. (Stratégie associée : Les modèles De générateur d’images de machine virtuelle doivent utiliser une liaison privée).

Gravité : moyenne

Web Application Firewall (WAF) doit être activé pour Application Gateway

Description : Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour une inspection supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les attaques et vulnérabilités courantes telles que les injections SQL, les scripts intersites, les exécutions de fichiers locaux et distants. Vous pouvez également restreindre l’accès à vos applications Web par pays/régions, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. (Stratégie associée : Web Application Firewall (WAF) doit être activée pour Application Gateway).

Gravité : faible

Web Application Firewall (WAF) doit être activé pour Azure Front Door Service service

Description : Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour une inspection supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les attaques et vulnérabilités courantes telles que les injections SQL, les scripts intersites, les exécutions de fichiers locaux et distants. Vous pouvez également restreindre l’accès à vos applications Web par pays/régions, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. (Stratégie associée : Web Application Firewall (WAF) doit être activé pour Azure Front Door Service ?service)

Gravité : faible

Recommandations relatives aux données AWS

Le paramètre « Supprimer à l’arrêt » doit être activé pour l’instance jointe des volumes EBS

Description : Defender for Cloud identifié une instance jointe de volume EBS « Supprimer sur le paramètre de terminaison » manquante. Ce paramètre supprime automatiquement le stockage principal de l’instance lors de l’arrêt. Sans cela, les volumes orphelins peuvent conserver des données sensibles, ce qui augmente le risque d’accès et de conformité non autorisés.

Gravité : faible

Le chiffrement aws Key Management Service doit être configuré pour EventBridge Pipe

Description : La configuration du chiffrement KMS (AWS Key Management Service) pour EventBridge Pipe garantit que les données au repos sont chiffrées à l’aide de clés contrôlées par le client, ce qui offre des fonctionnalités de sécurité et de conformité améliorées. Cette mesure permet de mieux gérer et de faire pivoter les clés de chiffrement en fonction des stratégies internes ou des exigences réglementaires. S’il n’est pas implémenté, les données seront chiffrées à l’aide de clés gérées par AWS, ce qui peut ne pas répondre à des normes de sécurité ou de conformité strictes. Cette recommandation est particulièrement importante pour les organisations qui gèrent des données sensibles ou réglementées, telles que les informations d’identification personnelle (PII), les enregistrements financiers ou la propriété intellectuelle. Pour l’implémenter, configurez eventBridge Pipe pour utiliser une clé KMS gérée par le client dans aws Management Console ou via AWS CLI.

Gravité : faible

Le chiffrement aws Key Management Service doit être activé pour le domaine SageMaker

Description : Defender for Cloud identifié que votre domaine SageMaker utilise des clés KMS gérées par AWS au lieu de clés gérées par le client. Le chiffrement AWS KMS protège les données au repos en vous permettant de contrôler la gestion des clés, y compris la rotation et l’accès, en garantissant la conformité aux exigences de sécurité strictes. Sans clés gérées par le client, les données sensibles peuvent présenter un risque plus élevé d’accès non autorisé et de non-conformité. En savoir plus.

Gravité : faible

Le chiffrement AWS Key Management Service doit être activé sur les points de terminaison SageMaker

Description : Defender for Cloud identifié un manque de chiffrement KMS (AWS Key Management Service) sur les points de terminaison Sagemaker. Le chiffrement KMS sécurise les données sensibles en gérant les clés de chiffrement, y compris leurs activités de cycle de vie telles que la génération, la rotation et la suppression. Sans KMS activé, les points de terminaison risquent d’être exposés aux violations de données et à un accès non autorisé. En savoir plus.

Gravité : moyenne

La journalisation des accès doit être activée pour les compartiments LightSail

Description : Defender for Cloud identifié que la journalisation des accès n’est pas configurée sur votre compartiment LightSail. Accéder aux activités de journalisation effectuées sur le compartiment et permet de vérifier que seules les actions autorisées se produisent. Sans cela, l’accès non autorisé peut ne pas être détecté, ce qui réduit la visibilité de la sécurité et complique les enquêtes judiciaires et la réponse aux incidents.

Gravité : faible

L’exportation des journaux d’audit doit être activée sur les clusters Amazon DocumentDB

Description : Defender for Cloud identifié que l’exportation du journal d’audit vers CloudWatch est désactivée dans les clusters Amazon DocumentDB. Les journaux d’audit capturent des informations critiques sur les activités utilisateur et système qui prennent en charge l’analyse légale pendant les incidents de sécurité. Sans ces informations, il existe un risque accru que les actions non autorisées ne soient pas détectées, ce qui peut retarder la réponse aux incidents et la correction.

Gravité : faible

Les mises à niveau de version mineures automatiques doivent être activées sur les clusters MemoryDB

Description : Defender for Cloud cluster MemoryDB identifié sans mises à niveau de version mineure automatique activées. Les clusters MemoryDB s’appuient sur ces mises à niveau pour installer automatiquement les correctifs de sécurité essentiels et les améliorations logicielles mineures. Sans cette automatisation, les clusters peuvent rester vulnérables aux problèmes de sécurité. L’activation du processus de mise à niveau permet de maintenir une posture de sécurité robuste.

Gravité : faible

Les stratégies de sauvegarde automatisées doivent être activées sur les clusters d’AlliageDB

Description : Defender for Cloud identifié que la stratégie de sauvegarde automatisée est désactivée pour le cluster AlloyDB, ce qui signifie que les instantanés quotidiens pour la récupération ne sont pas créés automatiquement. Sans ces sauvegardes, vos clusters sont exposés à des risques tels que la perte de données d’une suppression accidentelle ou d’un ransomware, ce qui peut compromettre les exigences de récupération d’urgence et de conformité.

Gravité : moyenne

La rétention automatisée des instantanés doit être activée pour les clusters Redshift

Description : Defender for Cloud identifié que la rétention automatisée des instantanés n’est pas activée pour votre cluster Amazon Redshift. Les captures instantanées automatisées fournissent des fonctionnalités de récupération dans le temps pour votre entrepôt de données. Sans rétention appropriée, les données de récupération critiques peuvent être perdues, ce qui augmente le risque de perte de données en cas de suppression accidentelle, de corruption ou d’attaques par ransomware, et éventuellement en violation des exigences de conformité.

Gravité : faible

Les sauvegardes automatiques doivent être activées pour les clusters Elasticache

Description : Defender for Cloud identifié que les sauvegardes automatiques ne sont pas activées pour vos clusters Elasticache. Les clusters Elasticache sont des ressources de mise en cache critiques qui, sans sauvegardes régulières, sont vulnérables à la perte de données contre les suppressions accidentelles ou malveillantes. Cela pose un risque de temps d’arrêt prolongé et d’intégrité des données compromises, ce qui peut avoir un impact sur la fiabilité globale du service. Nous vous recommandons d’activer les sauvegardes automatiques pour protéger vos données et maintenir la continuité opérationnelle.

Gravité : moyenne

Les sauvegardes automatiques doivent être activées pour Elasticache serverless

Description : Defender for Cloud identifié que les sauvegardes automatiques ne sont pas activées pour votre ElastiCache serverless. Sans instantanés périodiques, votre ElastiCache ne dispose pas d’un point de récupération pour restaurer des données en cas de suppression accidentelle ou malveillante, ce qui augmente le risque de perte de données irrécupérable. L’activation des sauvegardes automatiques réduit les interruptions potentielles et protège l’intégrité de vos données mises en cache.

Gravité : moyenne

Les mises à jour de sécurité automatiques doivent être activées sur les clusters ElastiCache RedisOSS

Description : Defender for Cloud identifié que la mise à niveau automatique est désactivée dans vos clusters RedisOSS ElastiCache. La mise à niveau automatique installe automatiquement les derniers correctifs de sécurité et mises à jour logicielles pour protéger les nœuds de cluster contre les vulnérabilités connues. Cela pose un risque en laissant vos clusters ouverts aux cyberattaques qui exploitent des logiciels obsolètes. En savoir plus.

Gravité : faible

Les instantanés automatiques doivent être activés pour les clusters MemoryDB

Description : Defender for Cloud cluster MemoryDB identifié sans configuration d’instantané automatique. L’instantané automatisé conserve automatiquement les instantanés de ressources pendant une durée spécifiée, ce qui garantit que les données de récupération critiques sont disponibles après les incidents. Sans cela, il existe un risque accru de perte de données par la suppression accidentelle ou la corruption.

Gravité : moyenne

La rétention de sauvegarde doit être activée pour LightSail Relational Database Service

Description : Defender for Cloud identifié que la rétention de sauvegarde est désactivée sur votre service de base de données relationnelle LightSail. La rétention de sauvegarde enregistre automatiquement les sauvegardes de votre base de données au fil du temps afin de pouvoir restaurer des données en cas de suppression accidentelle ou d’altération malveillante. Sans cela, la récupération devient plus difficile et vous risquez de perdre des données up-to-date si un attaquant compromet votre base de données.

Gravité : moyenne

Les rôles propriétaires ou éditeurs généraux doivent être éliminés des comptes de service sur des jeux de données BigQuery

Description : Defender for Cloud comptes de service identifiés avec des autorisations excessives sur les jeux de données BigQuery. L’évaluation a découvert les comptes de service attribués à des rôles généraux tels que OWNER, WRITER ou roles/bigquery.admin qui fournissent plus d’accès que nécessaire. Cela pose un risque de déplacement latéral et d’exfiltration des données si ces informations d’identification sont compromises. Il est essentiel de restreindre les autorisations aux rôles qui s’alignent sur les exigences fonctionnelles du compte de service, telles que « Visionneuse BigQuery Data » ou « Éditeur bigQuery Data ».

Gravité : élevée

Le chiffrement du point de terminaison de cluster doit être activé pour les clusters DAX

Description : Defender for Cloud identifié que le chiffrement du point de terminaison de cluster n’est pas activé dans les clusters. Le chiffrement du point de terminaison de cluster protège les données pendant la transmission entre les clients et le cluster. Sans cela, des informations sensibles peuvent être interceptées ou accessibles par des parties non autorisées, ce qui peut compromettre la confidentialité et l’intégrité des données. Activez le chiffrement pour sécuriser les données en transit et réduire les risques de cyber-attaques.

Gravité : moyenne

L’accès entre comptes doit être limité sur les rubriques Amazon SNS

Description : Defender for Cloud identifié que votre rubrique Amazon SNS est configurée pour l’accès inter-comptes, ce qui permet aux comptes AWS externes d’interagir avec lui. L’accès entre comptes signifie que les utilisateurs en dehors de votre environnement approuvé peuvent publier ou s’abonner à vos rubriques. Cela pose un risque en exposant potentiellement des notifications sensibles à des parties non autorisées et à une mauvaise utilisation. La restriction de ces accès permet de sécuriser votre rubrique contre les menaces externes.

Gravité : moyenne

Le chiffrement KMS géré par le client doit être activé sur les agents Amazon Bedrock

Description : Defender for Cloud identifié que les modèles personnalisés Amazon Bedrock sont déployés sans chiffrement KMS géré par le client. Les modèles personnalisés Amazon Bedrock peuvent être créés ou importés sans sélectionner explicitement une clé gérée par le client, ce qui entraîne le chiffrement des artefacts de modèle avec des clés gérées par AWS. Cela pose un risque en réduisant le contrôle sur la rotation des clés, les stratégies d’accès strictes et la transparence de l’audit, ce qui peut entraîner des vulnérabilités de conformité et de sécurité.

Gravité : faible

Les clés de chiffrement gérées par le client doivent être activées pour les domaines CodeArtifact

Description : Defender for Cloud identifié que les clés gérées par le client (CMK) ne sont pas activées sur vos domaines. Les clés CMK sont des clés de chiffrement que vous contrôlez, notamment leur cycle de vie, leur rotation et leurs stratégies d’accès. Sans configuration CMK, vos domaines s’appuient uniquement sur des clés gérées par le fournisseur, ce qui réduit la surveillance et risque de laisser des données sensibles plus vulnérables à un accès non autorisé.

Gravité : faible

Les clés de chiffrement gérées par le client doivent être activées pour les flux de flux de données

Description : Defender for Cloud flux de données identifiés qui n’utilisent pas les clés de chiffrement Customer-Managed (CMEK). Cette évaluation évalue si vos flux datastream sont activés par CMEK, un contrôle qui autorise la rotation directe des clés et la gestion des stratégies d’accès. Sans CMEK, le chiffrement automatique fourni par Google Cloud peut ne pas répondre aux exigences strictes en matière de données sensibles, ce qui laisse votre charge de travail plus exposée à une compromission de clé potentielle ou à un accès non autorisé. En savoir plus : https://cloud.google.com/datastream/docs

Gravité : faible

Les clés de chiffrement gérées par le client doivent être activées pour les clusters ElastiCache

Description : Defender for Cloud des clusters ElastiCache identifiés qui n’ont pas de chiffrement CMK (Customer Managed Key). Le chiffrement CMK utilise des clés personnalisées qui permettent une rotation contrôlée et une sécurité renforcée par rapport aux clés par défaut. Cela pose un risque en exposant potentiellement vos clusters à des problèmes d’accès et de conformité non autorisés aux données. En savoir plus.

Gravité : faible

Les clés de chiffrement gérées par le client doivent être activées pour les bases de données GCP Spanner

Description : Defender for Cloud bases de données identifiées qui ne sont pas configurées avec des clés de chiffrement gérées par le client (CMEK). CMEK fait référence aux clés de chiffrement créées et gérées par votre organisation, par opposition aux clés gérées par la plateforme. Sans CMEK, les bases de données peuvent ne pas répondre aux exigences réglementaires ou de stratégie, ce qui peut exposer vos données à des problèmes d’accès ou de conformité non autorisés en raison d’un contrôle réduit de la gestion du cycle de vie des clés.

Gravité : faible

Les clés de chiffrement gérées par le client doivent être activées pour les instances Memorystore pour Redis

Description : Defender for Cloud identifié que les clés de chiffrement gérées par le client ne sont pas activées pour les instances Memorystore pour Redis. Cette évaluation vérifie si les opérations de chiffrement sont uniquement gérées par des clés gérées par Google par défaut, ce qui limite la rotation des clés, la journalisation d’audit et les améliorations du contrôle d’accès en temps opportun. Ces limitations présentent un risque en compromettant potentiellement les efforts de protection et de conformité des données, car les organisations n’ont pas de propriété et de gouvernance explicites sur leurs clés de chiffrement.

Gravité : faible

Les clés de chiffrement gérées par le client doivent être activées pour les rubriques Pub/Sub

Description : Defender for Cloud rubriques Pub/Sub identifiées à l’aide de clés de chiffrement gérées par Google par défaut au lieu de clés de chiffrement gérées par le client (CMEK). CMEK vous permet de contrôler la rotation des clés et les stratégies d’accès, tandis que la dépendance aux clés par défaut limite le contrôle et peut augmenter le risque d’accès et de conformité non autorisés. En savoir plus.

Gravité : faible

Les clés de chiffrement gérées par le client doivent être activées pour le magasin de données IA vertex

Description : Defender for Cloud identifié que le magasin de données Vertex AI n’est pas configuré avec les clés CMK (Customer Managed Encryption Keys), ce qui signifie qu’il s’appuie sur le chiffrement géré par Google par défaut. Cela pose un risque, car les clés gérées par GCP ne vous permettent pas de contrôler les stratégies de rotation, de définir des autorisations d’accès granulaires ou d’auditer l’utilisation des clés, ce qui risque de ne pas répondre à des exigences strictes en matière de conformité et de souveraineté des données dans les secteurs réglementés.

Gravité : faible

Les clés de chiffrement gérées par le client doivent être activées pour le moteur IA de vertex

Description : Defender for Cloud identifié que l’instance du moteur IA vertex n’est pas configurée avec cmK (Customer Managed Encryption Keys), ce qui signifie qu’elle repose sur le chiffrement géré par Google par défaut. Cela pose un risque, car les clés gérées par GCP ne vous permettent pas de contrôler les stratégies de rotation, de définir des autorisations d’accès granulaires ou d’auditer l’utilisation des clés, ce qui risque de ne pas répondre à des exigences strictes en matière de conformité et de souveraineté des données dans les secteurs réglementés.

Gravité : faible

Les clés de chiffrement gérées par le client doivent être activées sur les clusters AlloyDB

Description : Defender for Cloud identifié que le cluster AlloyDB n’est pas configuré avec les clés CMK (Customer Managed Encryption Keys), ce qui signifie qu’il s’appuie sur le chiffrement géré par Google par défaut. Cela pose un risque, car les clés gérées par GCP ne vous permettent pas de contrôler les stratégies de rotation, de définir des autorisations d’accès granulaires ou d’auditer l’utilisation des clés, ce qui risque de ne pas répondre à des exigences strictes en matière de conformité et de souveraineté des données dans les secteurs réglementés.

Gravité : faible

Les clés de chiffrement gérées par le client doivent être activées sur les rubriques Amazon SNS

Description : Defender for Cloud identifié que vos rubriques AWS SNS utilisent le chiffrement par défaut au lieu de clés gérées par le client (CMK). Le chiffrement CMK vous permet de contrôler les stratégies clés et d’auditer l’utilisation des clés, offrant une protection améliorée contre l’accès non autorisé et la prise en charge de la conformité aux normes de sécurité internes et réglementaires. Cette surveillance de la configuration peut exposer des données sensibles à des risques accrus.

Gravité : faible

Les clés de chiffrement gérées par le client doivent être activées sur les référentiels de Registre d’artefacts

Description : Defender for Cloud identifié que les référentiels sont sécurisés à l’aide de clés de chiffrement gérées par la plateforme au lieu de clés de chiffrement gérées par le client (CMEK). CMEK est des clés que vous contrôlez, offrant une gestion avancée du cycle de vie et un contrôle d’accès plus strict. L’utilisation de clés gérées par la plateforme augmente le risque de vulnérabilités de protection des données et peut ne pas répondre aux exigences de conformité. Nous vous recommandons de configurer CMEK pour améliorer la sécurité et le contrôle du chiffrement.

Gravité : faible

Les clés de chiffrement gérées par le client doivent être activées sur les instances filestore

Description : Defender for Cloud instances de magasin de fichiers identifiées sans clés de chiffrement Customer-Managed (CMEK). Cela pose un risque de contrôle réduit sur la rotation des clés de chiffrement et les stratégies d’accès dans le cloud KMS, ce qui pourrait compromettre la conformité aux normes réglementaires et organisationnelles. En savoir plus : https://cloud.google.com/filestore/docs/cmek

Gravité : faible

Les clés de chiffrement gérées par le client doivent être activées sur les clusters MemoryDB

Description : Defender for Cloud identifié que le cluster MemoryDB n’utilise pas les clés gérées par le client (CMK) pour le chiffrement. L’utilisation des clés gérées par le client (CMK) permet un contrôle amélioré du cycle de vie des clés et un audit détaillé, ce qui garantit que les pratiques de chiffrement répondent aux exigences de conformité.

Gravité : faible

Le chiffrement des données au repos doit être activé sur les clusters ElastiCache

Description : Defender for Cloud identifié que le chiffrement au repos n’est pas activé sur votre cluster ElastiCache. Le chiffrement au repos convertit les données stockées dans un format sécurisé par chiffrement, protégeant les informations même si le stockage sous-jacent est enfreint. Sans cette protection, l’accès non autorisé ou la falsification des données peuvent se produire, ce qui risque de garantir la conformité et l’intégrité globale du système.

Gravité : moyenne

La protection de suppression de base de données doit être activée pour les bases de données GCP Spanner

Description : Defender for Cloud identifié que la protection de suppression de base de données est désactivée pour vos bases de données. La protection contre la suppression de base de données empêche la suppression accidentelle ou non autorisée en exigeant une confirmation supplémentaire avant de supprimer une base de données. Sans cette protection, vos données critiques sont exposées à une perte potentielle d’erreur humaine ou à une automatisation mal configurée.

Gravité : moyenne

La planification de sauvegarde par défaut pour les nouvelles bases de données doit être activée

Description : L’activation d’une planification de sauvegarde par défaut pour la nouvelle instance Spanner garantit la protection automatisée des données dès la création des bases de données. Cela permet de maintenir des sauvegardes cohérentes sans intervention manuelle et réduit le risque d’erreur humaine. Les sauvegardes régulières fournissent des options de récupération en cas de suppression, d’altération ou de défaillances système accidentelles. Si la planification de sauvegarde par défaut n’est pas activée, de nouvelles bases de données peuvent rester non protégées et vulnérables, ce qui augmente le risque de perte de données permanente. Il est recommandé d’activer ce paramètre pour améliorer la résilience des bases de données et la continuité de l’activité.

Gravité : moyenne

Les périodes de rétention des instantanés définis doivent être appliquées pour les clusters Redshift

Description : Defender for Cloud de rétention indéfinie identifiée dans les instantanés Amazon Redshift, où les instantanés sont configurés pour ne jamais expirer (période de rétention définie sur -1). Cela pose un risque d’accumulation de coûts de stockage inutiles et d’exposition prolongée des données potentiellement sensibles. La définition d’une période de rétention garantit que les instantanés obsolètes sont automatiquement vidés, ce qui réduit l’impact financier et les vulnérabilités de sécurité.

Gravité : faible

La protection contre la suppression doit être activée sur les clusters Amazon DocumentDB

Description : Defender for Cloud identifié que la protection de suppression n’est pas activée sur vos clusters Amazon DocumentDB. La protection contre la suppression est une protection qui empêche la suppression accidentelle ou malveillante de clusters de base de données. Sans cela, vos clusters DocumentDB sont exposés aux risques de suppressions non autorisées entraînant des temps d’arrêt importants et des interruptions opérationnelles. Activez la protection contre la suppression pour maintenir la sécurité et la disponibilité de vos données.

Gravité : moyenne

La protection contre la suppression doit être activée sur les bases de données Firestore

Description : Defender for Cloud les bases de données Firestore identifiées avec la protection de suppression désactivée dans Firestore. La protection contre la suppression empêche la suppression des bases de données, sauf si elle est désactivée explicitement. Sans cette protection, des suppressions accidentelles ou malveillantes peuvent entraîner une perte de données irréversible et des interruptions opérationnelles dans les environnements de production.

Gravité : moyenne

Le chiffrement en transit doit être activé sur les clusters MemoryDB

Description : Defender for Cloud identifié que le chiffrement TLS (Transport Layer Security) n’est pas activé sur votre cluster MemoryDB. TLS sécurise les données et les communications clientes en chiffrant les informations transmises. Sans TLS activé, les données en transit sont susceptibles d’être interceptées et modifiées par des parties non autorisées.

Gravité : moyenne

Le chiffrement en transit doit être activé sur le cache basé sur un cluster

Description : Defender for Cloud identifié que le chiffrement en transit n’est pas activé dans votre cache basé sur un cluster utilisé par ElastiCache. Le chiffrement en transit protège les données au fur et à mesure qu’elles se déplacent entre les nœuds de cache et les applications clientes. Sans cela, des informations sensibles peuvent être exposées à l’interception ou à la falsification pendant la transmission, ce qui crée un risque de violations de données et de non-conformité avec les meilleures pratiques de sécurité.

Gravité : moyenne

Le chiffrement avec AWS Key Management Service doit être activé sur EventBridge Event Bus

Description : Defender for Cloud identifié que votre EventBridge Event Bus n’utilise pas de clé AWS Key Management Service gérée par le client pour le chiffrement des données. Les clés KMS gérées par le client offrent un contrôle amélioré avec les fonctionnalités de rotation des clés, qui sont essentielles pour protéger les données sensibles. Sans cette configuration, votre Event Bus s’appuie sur des clés gérées par AWS qui ne répondent pas aux normes de conformité et de sécurité strictes.

Gravité : faible

Vérifier que les plans de sauvegarde AWS incluent des actions de copie inter-régions ou inter-comptes

Description : Les plans de sauvegarde AWS sans actions de copie inter-régions ou inter-comptes stockent des points de récupération dans un emplacement unique, ce qui augmente le risque de perte de données en raison de pannes régionales, de compromission de compte ou de ransomware. La configuration des actions de copie améliore la résilience des sauvegardes en garantissant que les points de récupération sont conservés dans une limite de sécurité et de disponibilité indépendante.

Gravité : faible

Le contrôle de remplacement d’invite explicite doit être configuré pour les agents Amazon Bedrock

Description : Defender for Cloud identifié les paramètres de remplacement d’invite non contrôlés dans les agents Amazon Bedrock. Ces agents, qui exécutent des tâches d’IA génératives, sont à risque lorsque les contrôles de remplacement d’invite sont mal configurés, ce qui permet de contourner les mécanismes de sécurité établis. Cette mauvaise configuration peut entraîner un comportement imprévisible de l’IA et des violations de sécurité ou de conformité potentielles, ce qui a pour effet de compromettre l’opération approuvée de vos services.

Gravité : moyenne

Le chiffrement en transit doit être activé pour les instances Memorystore pour Redis

Description : Defender for Cloud identifié que le chiffrement en transit est désactivé pour les instances Memorystore pour Redis. Le chiffrement en transit, généralement fourni via TLS, protège les données au fur et à mesure qu’elles transitent sur le réseau. Sans cela, les données mises en cache sensibles sont transmises en texte clair, les exposant à l’interception, à l’inspection du trafic et aux attaques man-in-the-middle, qui peuvent compromettre la confidentialité et l’intégrité des données.

Gravité : moyenne

La configuration de clé managée KMS doit être activée pour le chiffrement côté serveur SQS

Description : Defender for Cloud identifié que votre file d’attente SQS n’est pas configurée pour utiliser des clés managées KMS pour le chiffrement côté serveur. Les clés managées KMS sont entièrement contrôlées par le service de gestion des clés et assurent une surveillance améliorée du cycle de vie des clés et de l’audit des accès. Sans ces contrôles, votre file d’attente présente un risque accru d’utilisation de clés non autorisées et une protection réduite des données sensibles au repos.

Gravité : moyenne

Le mappage des champs de la Base de connaissances doit être configuré en toute sécurité sur Amazon Bedrock

Description : Defender for Cloud des mappages de champs mal configurés dans les bases de connaissances Amazon Bedrock. Cela pose un risque de corruption d’incorporations et d’origine de récupération de documents inexactes, ce qui peut entraîner des sorties dangereuses ou trompeuses dans les pipelines de génération augmentée de récupération (RAG) lorsque les mappages pour les champs de vecteur, de texte et de métadonnées sont incomplets ou incorrects.

Gravité : élevée

LockConfiguration doit être activé sur le coffre de sauvegarde

Description : Defender for Cloud identifié que lockConfiguration n’est pas activé sur votre coffre de sauvegarde. LockConfiguration empêche les modifications ou suppressions non autorisées des paramètres de sauvegarde critiques, ce qui garantit que les points de récupération restent sécurisés. Sans ce contrôle, le coffre de sauvegarde présente un risque accru de modifications accidentelles ou malveillantes qui peuvent compromettre la résilience des données et l’intégrité de la sauvegarde. En savoir plus.

Gravité : moyenne

Les informations d’identification d’administrateur managé doivent être activées pour les clusters Amazon Redshift

Description : Defender for Cloud identifié que vos clusters Amazon Redshift n’utilisent pas d’informations d’identification d’administrateur managé. Les informations d’identification d’administrateur managé impliquent le stockage sécurisé des informations d’identification d’administration dans AWS Secrets Manager avec rotation automatique, ce qui réduit le risque d’exposition aux informations d’identification. Sans cette configuration, il existe un risque accru d’accès à une base de données non autorisée et de violations de données potentielles.

Gravité : moyenne

Le contrôle de version d’objet doit être activé sur les compartiments LightSail

Description : Defender for Cloud identifié que le contrôle de version d’objet est désactivé sur votre compartiment LightSail. Le contrôle de version d’objet enregistre et conserve automatiquement les copies historiques d’objets, ce qui est essentiel pour récupérer des données à partir de suppressions accidentelles, de modifications ou d’altérations. Sans cette fonctionnalité, les modifications ou erreurs non autorisées peuvent compromettre définitivement votre intégrité des données.

Gravité : faible

Le remplacement de l’analyseur doit être désactivé pour les agents Amazon Bedrock

Description : Defender for Cloud identifié un paramètre de remplacement d’analyseur personnalisé (ParserMode = OVERRIDEDEN) dans les agents Amazon Bedrock. L’analyseur personnalisé remplace le mécanisme d’analyse par défaut pour répondre à des exigences de sortie spécifiques, mais peut augmenter la complexité opérationnelle, ce qui peut entraîner des erreurs d’analyse ou exposer des vulnérabilités de sécurité si elles ne sont pas rigoureusement conservées. Nous vous recommandons de désactiver ce remplacement, sauf si la validation de sortie stricte est essentielle.

Gravité : élevée

La récupération à un point dans le temps doit être activée pour les bases de données Firestore

Description : Defender for Cloud bases de données Firestore identifiées avec la récupération à un point dans le temps (PITR) désactivée. PITR est une fonctionnalité qui permet la récupération des données à partir d’un horodatage spécifique au cours de la période de rétention, qui protège contre les suppressions accidentelles et les écritures erronées. Sans PITR, vos bases de données risquent de subir des pertes de données étendues et des défis potentiels en matière de restauration de l’intégrité des données après des incidents.

Gravité : moyenne

L’état d’exécution d’invite doit être activé pour les phases d’agent critiques sur Amazon Bedrock

Description : Defender for Cloud’état d’exécution d’invite désactivé identifié pour les étapes critiques de l’agent dans Amazon Bedrock. Les étapes critiques de l’agent, telles que l’orchestration et la génération de réponse de la base de connaissances, sont essentielles pour garantir un raisonnement complet et des sorties précises. La désactivation de ces étapes présente un risque de génération de réponses non sécurisées, incomplètes ou incorrectes, ce qui peut entraîner un comportement d’agent compromis et l’intégrité globale du système.

Gravité : élevée

La configuration du bloc d’accès public doit être activée sur le point d’accès AWS S3

Description : Defender for Cloud identifié que la configuration du bloc d’accès public n’est pas activée sur votre point d’accès AWS S3. Les paramètres de bloc d’accès public sont conçus pour empêcher l’exposition publique accidentelle en bloquant automatiquement l’accès public aux ressources S3, quel que soit le compartiment ou les autorisations au niveau de l’objet. Sans ce paramètre, il existe un risque accru d’accès non autorisé aux données sensibles stockées dans vos compartiments S3.

Gravité : élevée

L’accès public pour les éditeurs doit être désactivé sur les rubriques Amazon SNS

Description : Defender for Cloud identifié que vos rubriques SNS disposent d’un accès de serveur de publication illimité activé. Ce paramètre permet à n’importe quelle entité de publier des notifications dans vos rubriques, ce qui peut entraîner des alertes non autorisées, du courrier indésirable ou même des messages malveillants qui affaiblissent la fiabilité et la sécurité de votre système de notification. En garantissant que l’accès aux éditeurs est restreint, vous réduisez ces risques et améliorez l’intégrité globale de votre infrastructure de messagerie.

Gravité : élevée

L’accès public pour les abonnés doit être désactivé sur la rubrique Amazon SNS

Description : Defender for Cloud identifié que les abonnements aux rubriques SNS sont accessibles publiquement. Ici, l'« accès public » signifie que n’importe quelle entité peut s’abonner et recevoir des notifications, exposant votre système de messagerie à des fuites de données et de surveillance non autorisées. Cette exposition peut permettre aux acteurs malveillants d’intercepter ou d’utiliser des informations sensibles incorrectes. Nous vous recommandons de configurer des abonnements pour autoriser uniquement les abonnés approuvés. En savoir plus.

Gravité : élevée

Les domaines de messagerie publics doivent être interdits de recevoir des rôles privilégiés sur BigQuery

Description : Defender for Cloud des rôles BigQuery hautement privilégiés (par exemple, OWNER, WRITER ou Admin) affectés aux membres avec des domaines de messagerie publics. Les domaines de messagerie publique sont externes à la gestion du cycle de vie des identités de votre organisation, ce qui pose un risque de modification, de suppression ou d’escalade d’autorisations non autorisées.

Gravité : élevée

L’accès en lecture public sur les compartiments LightSail doit être désactivé

Description : Defender for Cloud identifié que votre compartiment LightSail autorise l’accès en lecture public. Ce paramètre permet à toute personne d’accéder aux objets stockés sans authentification, ce qui rend les données sensibles vulnérables à l’exposition et à l’exploitation non autorisées.

Gravité : élevée

Les étiquettes de ressources doivent être configurées sur les référentiels de Registre d’artefacts

Description : Defender for Cloud identifié des étiquettes de ressources manquantes dans les référentiels. Les étiquettes de ressources sont des paires clé-valeur qui catégorisent les référentiels et permettent l’application automatisée des stratégies de sécurité. Sans étiquettes appropriées, il existe un risque accru de configurations incorrectes et d’accès non autorisé en raison de contrôles de sécurité incohérents.

Gravité : faible

Les connecteurs sécurisés doivent être activés pour les instances d’AlliageDB

Description : Defender for Cloud paramètres de connexion client non sécurisés identifiés dans l’instance d’AlliageDB. L’évaluation vérifie la propriété « Exiger des connecteurs », qui, lorsqu’elle est définie sur false, autorise les connexions de protocole PostgreSQL directes sans médiateur sécurisé, tel que le proxy d’authentification d’AlliageDB. Cela contourne l’authentification basée sur IAM et le chiffrement TLS automatique, ce qui augmente le risque d’authentification plus faible et d’exposition potentielle du trafic non chiffré au sein de votre VPC.

Gravité : moyenne

Les groupes de sécurité doivent être configurés pour les clusters MemoryDB

Description : Defender for Cloud cluster MemoryDB identifié sans groupes de sécurité configurés. Les groupes de sécurité fonctionnent en tant que règles de pare-feu qui régissent le trafic entrant et sortant pour votre cluster. Sans eux, votre cluster est exposé au risque d’accès non autorisé et de violations de données potentielles. L’activation de groupes de sécurité peut réduire considérablement ce risque en garantissant que seul le trafic approuvé est autorisé à accéder à votre cluster MemoryDB.

Gravité : moyenne

Les groupes de sécurité doivent être configurés pour restreindre l’accès pour ElastiCache

Description : Defender for Cloud identifié des configurations de groupe de sécurité insuffisantes dans votre service ElastiCache. Les groupes de sécurité sont des filtres réseau qui contrôlent le trafic entre les ressources ; lorsqu’elles ne sont pas correctement configurées, elles ne parviennent pas à appliquer des restrictions d’accès affinées, susceptibles d’exposer votre cache à un accès et à une exploitation non autorisés. Cela augmente le risque de violations de données et d’autres incidents de sécurité. En savoir plus.

Gravité : faible

Les groupes de sécurité doivent restreindre l’accès pour ElastiCache

Description : Defender for Cloud des restrictions de groupe de sécurité lax identifiées dans votre configuration ElastiCache. Les groupes de sécurité agissent en tant que pare-feu virtuels qui gèrent l’accès aux utilisateurs et aux instances, et une segmentation insuffisante peut entraîner un accès non autorisé, ce qui augmente le risque d’exposition des données et d’activités potentiellement malveillantes. Nous vous recommandons d’examiner et d’appliquer des règles d’accès granulaires pour vous assurer que seuls les utilisateurs et les processus autorisés interagissent avec vos ressources ElastiCache.

Gravité : faible

Les journaux de sécurité doivent être activés pour le groupe de réplication ElastiCache

Description : Defender for Cloud identifié que la journalisation n’est pas activée pour votre groupe de réplication ElastiCache. Cette recommandation a été déclenchée lors de la détection de l’absence de journaux du moteur, qui capturent des événements opérationnels détaillés ou des journaux lents, qui suivent les problèmes de latence. Sans ces journaux d’activité, les anomalies potentielles et les activités non autorisées peuvent ne pas être détectées, ce qui augmente le risque de réponse différée aux incidents ou aux violations de sécurité. En savoir plus.

Gravité : faible

L’atténuation de l’exposition aux données sensibles doit être activée sur les sorties de pile AWS CloudFormation

Description : Defender for Cloud des sorties sensibles identifiées dans votre pile AWS CloudFormation. Les sorties CloudFormation sont utilisées pour transmettre des données entre les piles, mais ne doivent pas inclure d’informations sensibles telles que les mots de passe, les clés API, les jetons ou les informations d’identification. L’exposition de ces détails augmente le risque d’accès non autorisé aux données. Supprimez ces sorties ou stockez en toute sécurité les données secrètes à l’aide du gestionnaire de secrets AWS ou du magasin de paramètres SSM. Pour plus d’informations, consultez : https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/outputs-section-structure.html

Gravité : élevée

Les paramètres sensibles doivent avoir l’attribut NoEcho activé sur les piles AWS CloudFormation

Description : Defender for Cloud identifié les piles AWS CloudFormation avec des paramètres manquants à l’attribut NoEcho. L’attribut NoEcho masque les valeurs sensibles des journaux et des sorties, ce qui empêche les informations d’identification et d’autres données confidentielles d’être exposées par inadvertance. Sans cela, vos piles peuvent fuiter des informations critiques, ce qui accroît le risque d’accès non autorisé. Nous vous recommandons de mettre à jour vos modèles pour incorporer le paramètre NoEcho le cas échéant.

Gravité : élevée

Le chiffrement côté serveur doit être activé pour les sources de données des bases de connaissances Amazon Bedrock

Description : Defender for Cloud identifié un manque de configuration de chiffrement côté serveur spécifique dans les sources de données de la Base de connaissances Amazon Bedrock. Sans serverSideEncryptionConfiguration approprié, les documents ingérés, les métadonnées et les artefacts de traitement peuvent être stockés non chiffrés ou avec des clés gérées par AWS, ce qui réduit le contrôle client sur le chiffrement, la rotation des clés et les fonctionnalités d’audit, ce qui augmente le risque d’accès non autorisé aux données et de gouvernance de sécurité réduite.

Gravité : moyenne

Le chiffrement côté serveur doit être activé sur les files d’attente SQS

Description : Defender for Cloud identifié que le chiffrement côté serveur (SSE) n’est pas activé sur vos files d’attente SQS. SSE est une méthode qui utilise des clés de chiffrement pour transformer des données sensibles dans un format non lisible jusqu’à ce qu’elle soit correctement déchiffrée. Sans cette protection, vos files d’attente SQS risquent d’accéder à des données non autorisées, d’exposer potentiellement des informations sensibles et d’entraîner des violations de données et des problèmes de conformité.

Gravité : élevée

Les restrictions d’accès entre comptes stricts doivent être configurées sur des compartiments LightSail

Description : Defender for Cloud l’accès inter-comptes identifié dans votre compartiment LightSail. L’accès inter-comptes se produit lorsque des comptes AWS en dehors de votre environnement approuvé sont autorisés à accéder aux objets de compartiment. Cela pose un risque d’exposition de données non autorisées si ces comptes externes sont inconnus ou non surveillés. La restriction de l’accès exclusivement aux comptes ayant un besoin légitime peut vous aider à protéger vos informations sensibles.

Gravité : moyenne

Les volumes EBS non attachés doivent être supprimés ou attachés à une instance EC2

Description : Defender for Cloud identifié un volume EBS non attaché. Les volumes EBS sont des périphériques de stockage de blocs persistants destinés à la pièce jointe aux instances EC2. Les volumes non attachés peuvent indiquer des ressources orphelines provenant d’instances terminées, augmentant la surface d’attaque et pouvant contenir des données sensibles qui ne reçoivent plus de surveillance de sécurité active.

Gravité : faible

Les abonnements non expirés doivent avoir des stratégies d’expiration configurées sur les abonnements Pub/Sub

Description : Defender for Cloud stratégies d’expiration manquantes identifiées dans les abonnements Pub/Sub. Les stratégies d’expiration déterminent la durée pendant laquelle un abonnement inactif reste actif avant la suppression automatique. Sans cette configuration, les abonnements peuvent continuer à stocker des données indéfiniment, ce qui entraîne une augmentation des coûts de stockage et un risque plus élevé de conservation des informations sensibles plus longtemps que nécessaire. Pour plus d’informations, visitez https://cloud.google.com/pubsub/docs/subscription-properties#expiration_period

Gravité : faible

Les domaines CodeArtifact inutilisés doivent être supprimés

Description : Defender for Cloud domaines CodeArtifact identifiés ne contenant pas de référentiels actifs ou d’artefacts dans CodeArtifact. Un domaine inutilisé est un domaine qui n’héberge pas le contenu actuel, mais qui peut toujours contenir des paramètres hérités tels que des autorisations obsolètes ou des clés de chiffrement. Cela pose un risque en développant votre surface d’attaque du plan de contrôle et en autorisant potentiellement un accès non autorisé. En savoir plus.

Gravité : faible

Recommandations de mise en réseau et de données inter-catégories AWS/GCP

Le chiffrement en transit doit être activé pour les clusters Memorystore pour Redis

Description : Defender for Cloud identifié que le chiffrement en transit est manquant sur vos clusters Redis. Le chiffrement en transit (TLS) sécurise les données qui transitent entre les clients et vos clusters Redis, y compris les informations d’identification d’authentification et les données mises en cache. Sans TLS, les attaquants disposant d’un accès réseau via des VPN partagés, des réseaux appairés ou des charges de travail compromises peuvent intercepter ou modifier ces données sensibles, ce qui augmente le risque d’exposition et de manipulation des données.

Gravité : moyenne

L’accès au réseau public doit être désactivé pour LightSail Relational Database Service

Description : Defender for Cloud identifié que l’accès réseau public est activé sur votre service de base de données relationnelle LightSail. L’accès au réseau public signifie que la base de données accepte les connexions via Internet, qui contourne les restrictions réseau et l’expose à un accès non autorisé. Cette configuration augmente le risque d’exfiltration de données ou de perte de données en fournissant des points d’entrée potentiels pour les attaquants.

Gravité : élevée

Le retour sur trace doit être activé pour les clusters Amazon Aurora

Description : ce contrôle vérifie si les clusters Amazon Aurora ont activé le retour arrière.

Les sauvegardes vous aident à récupérer plus rapidement à la suite d’un incident de sécurité. Ils garantissent également la récupération de vos systèmes. Le retour sur trace d’Aurora réduit le temps nécessaire à la récupération d’une base de données à un instant dans le passé. Cela ne nécessite pas de restauration de base de données.

Pour plus d’informations sur le retour sur trace dans Aurora, consultez Retour sur trace d’un cluster de base de données Aurora dans le guide de l’utilisateur d’Amazon Aurora.

Gravité : moyenne

Les instantanés Amazon EBS ne doivent pas pouvoir être restaurés publiquement

Description : Les instantanés Amazon EBS ne doivent pas être restaurés publiquement par tout le monde, sauf autorisation explicite, pour éviter une exposition accidentelle des données. En outre, l’autorisation de modifier les configurations Amazon EBS doit être limitée aux seuls comptes AWS autorisés.

Gravité : élevée

Les définitions de tâche Amazon ECS doivent avoir des modes de mise en réseau et des définitions utilisateur sécurisés

Description : ce contrôle vérifie si une définition de tâche Amazon ECS active qui a le mode réseau hôte a également des définitions de conteneur utilisateur ou privilégiées. Le contrôle échoue pour les définitions de tâche qui ont un mode réseau hôte et des définitions de conteneur où privileged=false ou est vide et user=root ou est vide. Si une définition de tâche a des privilèges élevés, c’est parce que le client a spécifiquement choisi cette configuration. Ce contrôle vérifie l’escalade inattendue des privilèges lorsqu’une définition de tâche a activé la mise en réseau hôte, mais que le client n’a pas choisi de privilèges élevés.

Gravité : élevée

Les domaines Amazon Elasticsearch Service doivent chiffrer les données envoyées entre les nœuds

Description : ce contrôle vérifie si les domaines Amazon ES ont activé le chiffrement de nœud à nœud. Le protocole HTTPS (TLS) peut être utilisé pour empêcher les attaquants potentiels d’espionner ou de manipuler le trafic au moyen d’attaques de l’intercepteur ou d’autres attaques similaires. Seules les connexions chiffrées via HTTPS (TLS) doivent être autorisées. L’activation du chiffrement nœud à nœud pour les domaines Amazon ES garantit que les communications intraclusters sont chiffrées en transit. Cette configuration peut avoir un impact négatif sur les performances. Vous devez être conscient du compromis de performance et le tester avant d’activer cette option.

Gravité : moyenne

Le chiffrement au repos doit être activé sur les domaines Amazon Elasticsearch Service

Description : Il est important d’activer les chiffrements au reste des domaines Amazon ES pour protéger les données sensibles

Gravité : moyenne

La base de données Amazon RDS doit être chiffrée à l’aide d’une clé gérée par le client

Description : Cette vérification identifie les bases de données RDS chiffrées avec des clés KMS par défaut et non avec les clés gérées par le client. En tant que pratique de référence, utilisez des clés gérées par le client pour chiffrer les données de vos bases de données RDS et garder le contrôle de vos clés et données sur les charges de travail sensibles.

Gravité : moyenne

L’instance Amazon RDS doit être configurée avec les paramètres de sauvegarde automatique

Description : Cette vérification identifie les instances RDS, qui ne sont pas définies avec le paramètre de sauvegarde automatique. Si la sauvegarde automatique est définie, RDS crée un instantané de volume de stockage de votre instance de base de données, en sauvegardant l’intégralité de l’instance de base de données et pas seulement les bases de données individuelles, qui permettent une récupération à un instant dans le temps. La sauvegarde automatique se produit pendant la durée de la fenêtre de sauvegarde spécifiée et conserve les sauvegardes pendant une période limitée telle que définie dans la période de rétention. Il est recommandé de définir des sauvegardes automatiques pour vos serveurs RDS critiques qui aident dans le processus de restauration des données.

Gravité : moyenne

La journalisation d’audit doit être activée sur les clusters Amazon Redshift

Description : ce contrôle vérifie si un cluster Amazon Redshift a activé la journalisation d’audit. La journalisation d’audit Amazon Redshift fournit des informations supplémentaires sur les connexions et les activités des utilisateurs dans votre cluster. Ces données peuvent être stockées et sécurisées dans Amazon S3 et peuvent être utiles dans des audits et des enquêtes de sécurité. Pour plus d’informations, consultez Journalisation des audits de base de données dans le guide de la gestion du cluster d’Amazon Redshift.

Gravité : moyenne

Les instantanés automatiques doivent être activés sur les clusters Amazon Redshift

Description : ce contrôle vérifie si les clusters Amazon Redshift ont des instantanés automatisés activés. Il vérifie également si la période de rétention des instantanés est supérieure ou égale à sept.

Les sauvegardes vous aident à récupérer plus rapidement à la suite d’un incident de sécurité. Ils garantissent la récupération de vos systèmes. Amazon Redshift prend des instantanés périodiques par défaut. Ce contrôle vérifie si les instantanés automatiques sont activés et conservés pendant au moins sept jours. Pour plus d’informations sur les instantanés automatisés Amazon Redshift, consultez captures instantanées automatisées dans le Guide de gestion des clusters Amazon Redshift.

Gravité : moyenne

Les clusters Amazon Redshift doivent interdire l’accès public

Description : Nous vous recommandons d’éviter l’accessibilité publique des clusters Amazon Redshift en évaluant le champ « publicAccessible » dans l’élément de configuration du cluster.

Gravité : élevée

Les mises à niveau automatiques vers les versions principales doivent être activées sur Amazon Redshift

Description : ce contrôle vérifie si les mises à niveau automatiques des versions principales sont activées pour le cluster Amazon Redshift. L’activation des mises à niveau automatiques vers les versions principales garantit que les mises à jour de version principale les plus récentes des clusters Amazon Redshift sont installées pendant la fenêtre de maintenance. Ces mises à jour peuvent inclure des correctifs de sécurité et des correctifs de bogues. Rester à jour dans l’installation des correctifs est une étape importante de la sécurisation des systèmes.

Gravité : moyenne

Les files d’attente Amazon SQS doivent être chiffrées au repos

Description : ce contrôle vérifie si les files d’attente Amazon SQS sont chiffrées au repos. Le chiffrement côté serveur vous permet de transmettre des données sensibles dans des files d’attente chiffrées. Pour protéger le contenu des messages dans les files d’attente, le chiffrement côté serveur utilise des clés gérées dans AWS KMS. Pour plus d’informations, consultez Chiffrement au repos dans le guide du développeur d’Amazon Simple Queue Service.

Gravité : moyenne

Un abonnement aux notifications d’événements RDS doit être configuré pour les événements de cluster critiques

Description : Ce contrôle vérifie si un abonnement à un événement Amazon RDS existe qui a des notifications activées pour le type de source suivant : paires clé-valeur de catégorie d’événement. DBCluster : [Maintenance et échec]. Les notifications d’événements RDS utilisent Amazon SNS pour vous tenir informé des modifications apportées à la disponibilité ou à la configuration de vos ressources RDS. Ces notifications permettent de réagir rapidement. Pour plus d’informations sur les notifications d’événements RDS, consultez Utilisation de la notification d’évènement Amazon RDS dans le Guide de l’utilisateur d’Amazon RDS.

Gravité : faible

Un abonnement aux notifications d’événements RDS doit être configuré pour les événements d’instance de base de données critiques

Description : Ce contrôle vérifie si un abonnement à un événement Amazon RDS existe avec des notifications activées pour le type de source suivant : paires clé-valeur de catégorie d’événement. DBInstance: [Maintenance, modification de configuration et échec]. Les notifications d’événements RDS utilisent Amazon SNS pour vous tenir informé des modifications apportées à la disponibilité ou à la configuration de vos ressources RDS. Ces notifications permettent de réagir rapidement. Pour plus d’informations sur les notifications d’événements RDS, consultez Utilisation de la notification d’évènement Amazon RDS dans le Guide de l’utilisateur d’Amazon RDS.

Gravité : faible

Un abonnement aux notifications d’événements RDS doit être configuré pour les événements de groupe de paramètres de base de données critiques

Description : Ce contrôle vérifie si un abonnement à un événement Amazon RDS existe avec des notifications activées pour le type de source suivant : paires clé-valeur de catégorie d’événement. DBParameterGroup : [« configuration », « modification »]. Les notifications d’événements RDS utilisent Amazon SNS pour vous tenir informé des modifications apportées à la disponibilité ou à la configuration de vos ressources RDS. Ces notifications permettent de réagir rapidement. Pour plus d’informations sur les notifications d’événements RDS, consultez Utilisation de la notification d’évènement Amazon RDS dans le Guide de l’utilisateur d’Amazon RDS.

Gravité : faible

Un abonnement aux notifications d’événements RDS doit être configuré pour les événements du groupe de sécurité de base de données critiques

Description : Ce contrôle vérifie si un abonnement à un événement Amazon RDS existe avec des notifications activées pour le type de source suivant : paires clé-valeur de catégorie d’événement. DBSecurityGroup : [Configuration, modification, échec]. Les notifications d’événements RDS utilisent Amazon SNS pour vous tenir informé des modifications apportées à la disponibilité ou à la configuration de vos ressources RDS. Ces notifications permettent de réagir rapidement. Pour plus d’informations sur les notifications d’événements RDS, consultez Utilisation de la notification d’évènement Amazon RDS dans le Guide de l’utilisateur d’Amazon RDS.

Gravité : faible

La journalisation des API REST et WebSocket d’API Gateway doit être activée

Description : ce contrôle vérifie si toutes les étapes d’une API REST Amazon API Gateway ou de l’API WebSocket ont été activées. Le contrôle échoue si la journalisation n’est pas activée pour toutes les méthodes d’une étape ou si le niveau de journalisation n’est ni ERROR ni INFO. Les journaux pertinents doivent être activés pour les étapes de l’API REST ou WebSocket d’API Gateway. La journalisation de l’exécution des API REST et WebSocket d’API Gateway fournit des enregistrements détaillés des demandes effectuées aux étapes des API REST et WebSocket d’API Gateway. Les étapes comprennent les réponses du serveur principal d’intégration d’API, les réponses de l’agent d’autorisation Lambda et le requestId pour les points de terminaison d’intégration AWS.

Gravité : moyenne

Les données du cache de l’API REST d’API Gateway doivent être chiffrées au repos

Description : ce contrôle vérifie si toutes les méthodes des étapes de l’API REST de la passerelle API api activées sont chiffrées. Le contrôle échoue si l’une des méthodes d’une étape de l’API REST d’API Gateway est configurée pour être mise en cache et que le cache n’est pas chiffré. Le chiffrement des données au repos réduit le risque d’accès aux données stockées sur le disque par un utilisateur non authentifié auprès d’AWS. Il ajoute un autre ensemble de contrôles d’accès pour limiter la capacité des utilisateurs non autorisés à accéder aux données. Par exemple, des autorisations d’API sont nécessaires pour déchiffrer les données avant de pouvoir les lire. Les caches de l’API REST d’API Gateway doivent être chiffrés au repos pour une couche de sécurité supplémentaire.

Gravité : moyenne

Les étapes de l’API REST d’API Gateway doivent être configurées pour utiliser des certificats SSL pour l’authentification du serveur principal

Description : ce contrôle vérifie si les étapes de l’API REST Amazon API Gateway ont configuré des certificats SSL. Les systèmes principaux utilisent ces certificats pour authentifier que les demandes entrantes proviennent d’API Gateway. Les étapes de l’API REST d’API Gateway doivent être configurées avec des certificats SSL pour permettre aux systèmes principaux d’authentifier que les demandes proviennent d’API Gateway.

Gravité : moyenne

Le suivi AWS X-Ray doit être activé pour les étapes de l’API REST d’API Gateway

Description : ce contrôle vérifie si le suivi actif AWS X-Ray est activé pour les phases de votre API REST Amazon API Gateway. Le suivi actif X-Ray permet de réagir plus rapidement aux changements de niveau de performance dans l’infrastructure sous-jacente. Les changements de niveau de performance peuvent entraîner un manque de disponibilité de l’API. Le suivi actif X-Ray fournit des métriques en temps réel concernant les demandes des utilisateurs qui passent par les opérations de l’API REST d’API Gateway et les services connectés.

Gravité : faible

API Gateway doit être associé à une liste de contrôle d’accès web AWS WAF

Description : ce contrôle vérifie si une étape de passerelle API utilise une liste de contrôle d’accès web (ACL) AWS WAF. Ce contrôle échoue si une ACL web AWS WAF n’est pas attachée à une étape d’API REST d’API Gateway. AWS WAF est un pare-feu d’applications web qui permet de protéger les applications web et les API contre les attaques. Il vous permet de configurer une ACL, c’est-à-dire un ensemble de règles qui autorisent, bloquent ou dénombrent les requêtes web en fonction de règles et de conditions de sécurité web personnalisables que vous définissez. Assurez-vous que votre étape d’API Gateway est associée à une ACL web AWS WAF pour la protéger contre les attaques malveillantes.

Gravité : moyenne

La journalisation des Application Load Balancers et des Classic Load Balancers doit être activée

Description : ce contrôle vérifie si l’application Load Balancer et le Load Balancer classique ont activé la journalisation. Le contrôle échoue si access_logs.s3.enabled la valeur est false. L’équilibrage de charge élastique fournit des journaux d’accès qui capturent des informations détaillées sur les demandes envoyées à votre équilibreur de charge. Chaque journal contient des informations telles que l’heure à laquelle la demande a été reçue, l’adresse IP du client, les latences, les chemins des demandes et les réponses du serveur. Vous pouvez utiliser les journaux d’accès pour analyser les modèles de trafic et résoudre les problèmes. Pour plus d’informations, consultez les journaux Access de votre Load Balancer classique dans le Guide utilisateur pour les équilibreurs de charge classiques.

Gravité : moyenne

Les volumes EBS attachés doivent être chiffrés au repos

Description : ce contrôle vérifie si les volumes EBS dans un état attaché sont chiffrés. Pour réussir cette vérification, les volumes EBS doivent être en cours d’utilisation et chiffrés. Si le volume EBS n’est pas attaché, il n’est pas soumis à cette vérification. Pour ajouter une couche supplémentaire de sécurité sur vos données sensibles dans les volumes EBS, vous devez activer le chiffrement EBS au repos. Le chiffrement Amazon EBS offre une solution de chiffrement simple pour vos ressources EBS qui ne nécessite pas la création, la maintenance et la sécurisation de votre propre infrastructure de gestion des clés. Il utilise les clés principales client (CMK) d’AWS KMS lors de la création de volumes et d’instantanés chiffrés. Pour en savoir plus sur le chiffrement Amazon EBS, consultez la page Chiffrement Amazon EBS dans le guide de l’utilisateur d’Amazon EC2 pour les instances Linux.

Gravité : moyenne

Les instances de réplication AWS Database Migration Service ne doivent pas être publiques

Description : Pour protéger vos instances répliquées contre les menaces. Une instance de réplication privée doit avoir une adresse IP privée à laquelle vous ne pouvez pas accéder en dehors du réseau de réplication. Une instance de réplication doit avoir une adresse IP privée lorsque les bases de données source et cible se trouvent sur le même réseau, et que le réseau est connecté au VPC de l’instance de réplication à l’aide d’un VPN, d’AWS Direct Connect ou d’un Peering VPC. Vous devez également vous assurer que l’accès à votre configuration d’instance AWS DMS est limité aux seuls utilisateurs autorisés. Pour ce faire, limitez les autorisations IAM des utilisateurs pour modifier les paramètres et les ressources AWS DMS.

Gravité : élevée

Les écouteurs de Load Balancer classiques doivent être configurés avec une terminaison HTTPS ou TLS

Description : ce contrôle vérifie si vos écouteurs de Load Balancer classic sont configurés avec https ou protocole TLS pour les connexions frontales (client à load balancer). Le contrôle s’applique si un Load Balancer classique a des écouteurs. Si votre Load Balancer Classique n'a pas d'écouteur configuré, le contrôle ne signale pas de résultats. Le contrôle passe si les écouteurs de Load Balancer classic sont configurés avec TLS ou HTTPS pour les connexions frontales. Le contrôle échoue si l’écouteur n’est pas configuré avec TLS ou HTTPS pour les connexions frontales. Avant de commencer à utiliser un équilibreur de charge, vous devez ajouter un ou plusieurs écouteurs. Un écouteur est un processus qui utilise le protocole et le port configurés pour vérifier les demandes de connexion. Les écouteurs peuvent prendre en charge les protocoles HTTP et HTTPS/TLS. Vous devez toujours utiliser un écouteur HTTPS ou TLS afin que l’équilibreur de charge effectue le travail de chiffrement et de déchiffrement en transit.

Gravité : moyenne

Le drainage de connexion doit être activé pour les Classic Load Balancers

Description : ce contrôle vérifie si les équilibreurs de charge classiques ont activé le drainage de connexion. L’activation du drainage de connexion sur les équilibreurs de charge classiques garantit que l’équilibreur de charge cesse d’envoyer des requêtes à des instances qui annulent l’inscription ou ne sont pas saines. Il maintient les connexions existantes ouvertes. Cela s’avère utile pour les instances de groupes Mise à l'échelle automatique afin de s’assurer que les connexions ne sont pas interrompues brusquement.

Gravité : moyenne

AWS WAF doit être activé pour les distributions CloudFront

Description : ce contrôle vérifie si les distributions CloudFront sont associées à des ACL web AWS WAF ou AWS WAFv2. Le contrôle échoue si la distribution n’est pas associée à une ACL web. AWS WAF est un pare-feu d’applications web qui permet de protéger les applications web et les API contre les attaques. Il vous permet de configurer un ensemble de règles, appelé liste de contrôle d’accès web (ACL web), qui autorisent, bloquent ou dénombrent les requêtes web en fonction des règles et des conditions de sécurité web personnalisables que vous définissez. Assurez-vous que votre distribution CloudFront est associée à une ACL web AWS WAF pour contribuer à la protéger contre les attaques malveillantes.

Gravité : moyenne

La journalisation doit être activée pour les distributions CloudFront

Description : ce contrôle vérifie si la journalisation de l’accès au serveur est activée sur les distributions CloudFront. Le contrôle échoue si la journalisation des accès n’est pas activée pour une distribution. Les journaux d’accès CloudFront fournissent des informations détaillées sur chaque demande d’utilisateur reçue par CloudFront. Chaque journal contient des informations telles que la date et l’heure de réception de la demande, l’adresse IP du visiteur qui a effectué la demande, la source de la demande et le numéro de port de la demande du visiteur. Ces journaux sont utiles pour des applications telles que les audits de sécurité et d’accès et les enquêtes de forensique. Pour plus d’informations sur l’analyse des journaux d’accès, consultez Interroger les journaux Amazon CloudFront dans le Guide de l’utilisateur AmazonThéna.

Gravité : moyenne

Les distributions CloudFront doivent exiger le chiffrement en transit

Description : ce contrôle vérifie si une distribution Amazon CloudFront exige que les visionneuses utilisent le protocole HTTPS directement ou s’il utilise la redirection. Le contrôle échoue si ViewerProtocolPolicy est défini sur allow-all pour defaultCacheBehavior ou pour cacheBehaviors. Le protocole HTTPS (TLS) peut être utilisé pour empêcher les attaquants potentiels d’utiliser des attaques de l’intercepteur ou d’autres attaques similaires pour espionner ou manipuler le trafic. Seules les connexions chiffrées via HTTPS (TLS) doivent être autorisées. Le chiffrement des données en transit peut avoir un impact sur le niveau de performance. Vous devez tester votre application avec cette fonctionnalité pour comprendre le profil de performance et l’impact du protocole TLS.

Gravité : moyenne

Les journaux CloudTrail doivent être chiffrés au repos à l’aide des clés gérées par le client KMS

Description : Nous vous recommandons de configurer CloudTrail pour utiliser SSE-KMS. La configuration de CloudTrail pour utiliser SSE-KMS fournit davantage de contrôles de confidentialité sur les données de journal, car un utilisateur donné doit disposer de l’autorisation de lecture S3 sur le compartiment de journal correspondant et doit recevoir l’autorisation de déchiffrement de la stratégie CMK.

Gravité : moyenne

Les connexions aux clusters Amazon Redshift doivent être chiffrées en transit

Description : ce contrôle vérifie si les connexions aux clusters Amazon Redshift sont requises pour utiliser le chiffrement en transit. La vérification échoue si le paramètre de cluster Amazon Redshift require_SSL n’est pas défini sur 1. Le protocole TLS peut être utilisé pour empêcher les attaquants potentiels d’utiliser des attaques de l’intercepteur ou d’autres attaques similaires pour espionner ou manipuler le trafic. Seules les connexions chiffrées via TLS doivent être autorisées. Le chiffrement des données en transit peut avoir un impact sur le niveau de performance. Vous devez tester votre application avec cette fonctionnalité pour comprendre le profil de performance et l’impact du protocole TLS.

Gravité : moyenne

Les connexions aux domaines Elasticsearch doivent être chiffrées à l’aide de TLS 1.2

Description : ce contrôle vérifie si les connexions aux domaines Elasticsearch sont requises pour utiliser TLS 1.2. La vérification échoue si le domaine Elasticsearch TLSSecurityPolicy n’est pas Policy-Min-TLS-1-2-2019-07. Le protocole HTTPS (TLS) peut être utilisé pour empêcher les attaquants potentiels d’utiliser des attaques de l’intercepteur ou d’autres attaques similaires pour espionner ou manipuler le trafic. Seules les connexions chiffrées via HTTPS (TLS) doivent être autorisées. Le chiffrement des données en transit peut avoir un impact sur le niveau de performance. Vous devez tester votre application avec cette fonctionnalité pour comprendre le profil de performance et l’impact du protocole TLS. TLS 1.2 offre plusieurs améliorations en matière de sécurité par rapport aux versions précédentes de TLS.

Gravité : moyenne

La restauration à un instant dans le passé doit être activée pour les tables DynamoDB

Description : ce contrôle vérifie si la récupération à un point dans le temps (PITR) est activée pour une table Amazon DynamoDB.

Les sauvegardes vous aident à récupérer plus rapidement à la suite d’un incident de sécurité. Ils garantissent également la récupération de vos systèmes. La restauration à un instant dans le passé de DynamoDB automatise les sauvegardes des tables DynamoDB. Elle réduit le temps de récupération après des opérations de suppression ou d’écriture accidentelles.

Les tables DynamoDB pour lesquelles la restauration à un instant dans le passé est activée peuvent être restaurées à n’importe quel moment au cours des 35 derniers jours.

Gravité : moyenne

Le chiffrement par défaut EBS doit être activé

Description : ce contrôle vérifie si le chiffrement au niveau du compte est activé par défaut pour Amazon Elastic Block Store (Amazon EBS). Le contrôle échoue si le chiffrement au niveau du compte n’est pas activé. Lorsque le chiffrement est activé pour votre compte, les volumes Amazon EBS et les copies d’instantanés sont chiffrés au repos. Cela ajoute une autre couche de protection pour vos données. Pour plus d’informations, consultez Chiffrement par défaut dans le guide de l’utilisateur d’Amazon EC2 pour les instances Linux.

Les types d’instances suivants ne prennent pas en charge le chiffrement : R1, C1 et M1.

Gravité : moyenne

Les rapports d’intégrité améliorés doivent être activés pour les environnements Elastic Beanstalk

Description : ce contrôle vérifie si les rapports d’intégrité améliorés sont activés pour vos environnements AWS Elastic Beanstalk. Les rapports d’intégrité améliorés d’Elastic Beanstalk permettent de réagir plus rapidement aux changements de l’intégrité de l’infrastructure sous-jacente. Ces changements peuvent entraîner un manque de disponibilité de l’application. Le rapport d’intégrité amélioré d’Elastic Beanstalk fournit un descripteur d’état pour évaluer la gravité des problèmes identifiés et identifier les causes possibles à examiner. L’agent d’intégrité Elastic Beanstalk, inclus dans les images de machine Amazon (AMI) prises en charge, évalue les journaux et les métriques des instances EC2 de l’environnement.

Gravité : faible

Les mises à jour de la plateforme managée Elastic Beanstalk doivent être activées

Description : ce contrôle vérifie si les mises à jour de plateforme managée sont activées pour l’environnement Elastic Beanstalk. L’activation des mises à jour de la plateforme managée garantit que les derniers correctifs, mises à jour et fonctionnalités de la plateforme disponibles pour l’environnement sont installés. Rester à jour dans l’installation des correctifs est une étape importante de la sécurisation des systèmes.

Gravité : élevée

Les Load Balancer élastiques ne doivent pas avoir expiré le certificat ACM ou expirent dans 90 jours.

Description : Cette vérification identifie les équilibreurs de charge élastiques (ELB) qui utilisent des certificats ACM expirés ou arrivant à expiration dans 90 jours. AWS Certificate Manager (ACM) est l’outil préféré pour provisionner, gérer et déployer vos certificats de serveur. Avec ACM. Vous pouvez demander un certificat ou déployer un ACM existant ou un certificat externe sur des ressources AWS. En guise de meilleure pratique, il est recommandé de réimporter les certificats arrivant à expiration/arrivés à expiration tout en conservant les associations ELB du certificat d’origine.

Gravité : élevée

La journalisation des erreurs de domaine Elasticsearch doit être activée dans CloudWatch Logs

Description : ce contrôle vérifie si les domaines Elasticsearch sont configurés pour envoyer des journaux d’erreurs aux journaux CloudWatch. Vous devez activer les journaux d’erreurs pour les domaines Elasticsearch et envoyer ces journaux à CloudWatch Logs pour la rétention et la réponse. Les journaux d’erreurs de domaine peuvent faciliter les audits de sécurité et d’accès et peuvent aider à diagnostiquer les problèmes de disponibilité.

Gravité : moyenne

Les domaines Elasticsearch doivent être configurés avec au moins trois nœuds principaux dédiés

Description : ce contrôle vérifie si les domaines Elasticsearch sont configurés avec au moins trois nœuds principaux dédiés. Ce contrôle échoue si le domaine n’utilise pas de nœuds principaux dédiés. Ce contrôle réussit si les domaines Elasticsearch ont cinq nœuds principaux dédiés. Toutefois, l’utilisation de plus de trois nœuds principaux peut s’avérer inutile pour atténuer le risque lié à la disponibilité et entraînera un coût supplémentaire. Un domaine Elasticsearch nécessite au moins trois nœuds principaux dédiés pour la haute disponibilité et la tolérance aux pannes. Les ressources de nœud principal dédié peuvent être mises à rude épreuve lors des déploiements bleus/verts des nœuds de données, car il faut gérer des nœuds supplémentaires. Le déploiement d’un domaine Elasticsearch avec au moins trois nœuds principaux dédiés garantit un capacité suffisante de ressources de nœud principal et le fonctionnement du cluster en cas de défaillance d’un nœud.

Gravité : moyenne

Les domaines Elasticsearch doivent comporter au moins trois nœuds de données

Description : ce contrôle vérifie si les domaines Elasticsearch sont configurés avec au moins trois nœuds de données et zoneAwarenessEnabled est vrai. Un domaine Elasticsearch nécessite au moins trois nœuds de données pour la haute disponibilité et la tolérance aux pannes. Le déploiement d’un domaine Elasticsearch avec au moins trois nœuds de données garantit le fonctionnement du cluster en cas de défaillance d’un nœud.

Gravité : moyenne

La journalisation d’audit doit être activée pour les domaines Elasticsearch

Description : ce contrôle vérifie si les domaines Elasticsearch ont activé la journalisation d’audit. Ce contrôle échoue si la journalisation d’audit n’est pas activée pour un domaine Elasticsearch. Les journaux d’audit sont hautement personnalisables. Ils vous permettent de suivre l’activité des utilisateurs sur vos clusters Elasticsearch, notamment les réussites et les échecs d’authentification, les demandes adressées à OpenSearch, les modifications d’index et les requêtes de recherche entrantes.

Gravité : moyenne

La supervision améliorée doit être configurée pour les clusters et les instances de base de données RDS

Description : ce contrôle vérifie si la surveillance améliorée est activée pour vos instances de base de données RDS. Dans Amazon RDS, la surveillance améliorée permet une réponse plus rapide aux changements de niveau de performance dans l’infrastructure sous-jacente. Ces changements de niveau de performance peuvent entraîner un manque de disponibilité des données. La surveillance améliorée fournit des métriques en temps réel du système d’exploitation sur lequel s’exécute votre instance de base de données RDS. Un agent est installé sur l’instance. L’agent peut obtenir des métriques plus précisément que ce qui est possible à partir de la couche hyperviseur. Les métriques de surveillance améliorée sont utiles lorsque vous voulez voir la façon dont les différents processus ou threads d’une instance de base de données utilisent l’UC. Pour plus d’informations, consultez Surveillance améliorée dans le guide de l’utilisateur d’Amazon RDS.

Gravité : faible

Vérifier que la rotation des CMK créés par le client est activée

Description : AWS Service de gestion de clés (KMS) permet aux clients de faire pivoter la clé de stockage, qui est le matériau de clé stocké dans le service KMS lié à l’ID de clé de la clé principale créée par le client (CMK). Il s’agit de la clé de stockage utilisée pour effectuer des opérations de chiffrement, telles que le chiffrement et le déchiffrement. La rotation automatisée des clés conserve actuellement toutes les clés de stockage antérieures afin que le déchiffrement des données chiffrées puisse s’effectuer de manière transparente. Il est recommandé d’activer la rotation de clé CMK. La rotation des clés de chiffrement permet de réduire l’impact potentiel d’une clé compromise, car les données chiffrées avec une nouvelle clé ne sont pas accessibles avec une clé précédente qui a pu être exposée.

Gravité : moyenne

Vérifier que la journalisation des accès au compartiment S3 est activée sur le compartiment S3 CloudTrail

Description : la journalisation de l’accès au compartiment S3 génère un journal qui contient des enregistrements d’accès, vérifiez que la journalisation de l’accès au compartiment S3 S3 est activée sur le compartiment CloudTrail S3 pour chaque requête effectuée sur votre compartiment S3. Un enregistrement de journal d’accès contient des détails sur la demande, tels que le type de demande, les ressources spécifiées dans la demande effectuée et l’heure et la date de traitement de la demande. Il est recommandé d’activer la journalisation des accès au compartiment sur le compartiment S3 CloudTrail. En activant la journalisation de compartimentS S3 sur les compartiments S3 cibles, il est possible de capturer tous les événements, ce qui peut affecter les objets dans les compartiments cibles. La configuration des journaux pour qu’ils soient placés dans un compartiment distinct permet d’accéder aux informations des journaux, ce qui peut être utile dans les flux de travail de sécurité et de réponse aux incidents.

Gravité : faible

Vérifier que le compartiment S3 utilisé pour stocker les journaux CloudTrail n’est pas accessible publiquement

Description : CloudTrail enregistre un enregistrement de chaque appel d’API effectué dans votre compte AWS. Ces fichiers journaux sont stockés dans un compartiment S3. Il est recommandé que la stratégie de compartiment ou la liste de contrôle d’accès (ACL) soit appliquée au compartiment S3 que CloudTrail journalise pour empêcher l’accès public aux journaux CloudTrail. Autoriser l’accès public au contenu du journal CloudTrail peut aider un adversaire à identifier les faiblesses de l’utilisation ou de la configuration du compte concerné.

Gravité : élevée

IAM ne doit pas avoir expiré de certificats SSL/TLS

Description : Cette vérification identifie les certificats SSL/TLS expirés. Pour activer les connexions HTTPS à votre site web ou à votre application dans AWS, vous avez besoin d’un certificat de serveur SSL/TLS. Vous pouvez utiliser ACM ou IAM pour stocker et déployer des certificats de serveur. La suppression de certificats SSL/TLS expirés élimine le risque qu’un certificat non valide soit déployé accidentellement sur une ressource telle qu’AWS Elastic Load Balancer (ELB), ce qui peut endommager la crédibilité de l’application/du site web derrière l’ELB. Cette vérification génère des alertes s’il existe des certificats SSL/TLS expirés stockés dans AWS IAM. En guise de meilleure pratique, il est recommandé de supprimer les certificats expirés.

Gravité : élevée

Les certificats ACM importés doivent être renouvelés après un laps de temps spécifié

Description : ce contrôle vérifie si les certificats ACM dans votre compte sont marqués pour expiration dans les 30 jours. Il vérifie à la fois les certificats importés et les certificats fournis par AWS Certificate Manager. ACM peut renouveler automatiquement les certificats qui utilisent la validation DNS. Pour les certificats qui utilisent la validation par e-mail, vous devez répondre à un e-mail de validation de domaine. ACM ne renouvelle pas non plus automatiquement les certificats que vous importez. Vous devez renouveler manuellement les certificats importés. Pour plus d’informations sur le renouvellement géré des certificats ACM, consultez Renouvellement géré des certificats ACM dans le guide de l’utilisateur d’AWS Certificate Manager.

Gravité : moyenne

Les identités surprovisionnées dans les comptes doivent être examinées pour réduire l’index d’analyse des autorisations (PCI)

Description : les identités surprovisionnée dans les comptes doivent être examinées pour réduire l’index pci (Permission Creep Index) et protéger votre infrastructure. Réduisez l’index PCI en supprimant les attributions d’autorisations à haut risque inutilisées. La norme PCI élevée reflète les risques associés aux identités disposant d’autorisations qui dépassent leur utilisation normale ou requise.

Gravité : moyenne

Les mises à niveau automatiques des versions mineures RDS doivent être activées

Description : ce contrôle vérifie si les mises à niveau automatiques des versions mineures sont activées pour l’instance de base de données RDS. L’activation des mises à niveau automatiques des versions mineures garantit que les dernières mises à jour des versions mineures du système de gestion de base de données relationnelle (SGBDR) sont installées. Ces mises à niveau peuvent inclure des correctifs de sécurité et des correctifs de bogues. Rester à jour dans l’installation des correctifs est une étape importante de la sécurisation des systèmes.

Gravité : élevée

Les instantanés de cluster RDS et les instantanés de base de données doivent être chiffrés au repos

Description : ce contrôle vérifie si les instantanés de base de données RDS sont chiffrés. Ce contrôle est destiné aux instances de base de données RDS. Toutefois, il peut également générer des résultats pour les instantanés des instances de base de données Aurora, les instances de base de données Neptune et les clusters Amazon DocumentDB. Si ces résultats ne sont pas utiles, vous pouvez les supprimer. Le chiffrement des données au repos réduit le risque qu’un utilisateur non authentifié ait accès aux données stockées sur le disque. Les données des instantanés RDS doivent être chiffrées au repos pour une couche de sécurité supplémentaire.

Gravité : moyenne

La protection contre la suppression doit être activée pour les clusters RDS

Description : ce contrôle vérifie si la protection de suppression est activée pour les clusters RDS. Ce contrôle est destiné aux instances de base de données RDS. Toutefois, il peut également générer des résultats pour les instances de base de données Aurora, les instances de base de données Neptune et les clusters Amazon DocumentDB. Si ces résultats ne sont pas utiles, vous pouvez les supprimer. L’activation de la protection contre la suppression de cluster est une autre couche de protection contre la suppression ou la suppression accidentelles d’une base de données par une entité non autorisée. Lorsque la protection contre la suppression est activée, un cluster RDS ne peut pas être supprimé. Pour qu’une demande de suppression aboutisse, la protection contre la suppression doit être désactivée.

Gravité : faible

Les clusters de base de données RDS doivent être configurés pour plusieurs Zones de disponibilité

Description : les clusters de base de données RDS doivent être configurés pour plusieurs données stockées. Le déploiement sur plusieurs Zones de disponibilité permet d’automatiser Zones de disponibilité pour garantir la disponibilité du basculement en cas de problème de disponibilité de zone de disponibilité et pendant les événements de maintenance des services Bureau à distance réguliers.

Gravité : moyenne

Les clusters de base de données RDS doivent être configurés pour copier des balises vers des instantanés

Description : L’identification et l’inventaire de vos ressources informatiques constituent un aspect crucial de la gouvernance et de la sécurité. Vous devez avoir une visibilité de tous vos clusters de base de données RDS afin de pouvoir évaluer leur posture de sécurité et agir sur les éventuelles zones de faiblesse. Les instantanés doivent être marqués de la même façon que leurs clusters de base de données RDS parents. En activant ce paramètre, les instantanés héritent des balises de leurs clusters de bases de données parents.

Gravité : faible

Les instances de base de données RDS doivent être configurées pour copier des balises vers des instantanés

Description : ce contrôle vérifie si les instances de base de données RDS sont configurées pour copier toutes les balises dans des instantanés lorsque les instantanés sont créés. L’identification et l’inventaire de vos ressources informatiques constituent un aspect essentiel de la gouvernance et de la sécurité. Vous devez avoir une visibilité de toutes vos instances de base de données RDS afin de pouvoir évaluer leur posture de sécurité et agir sur les éventuelles zones de faiblesse. Les instantanés doivent être marqués de la même façon que leurs instances de base de données RDS parentes. En activant ce paramètre, les instantanés héritent des balises de leurs instances de bases de données parentes.

Gravité : faible

Les instances de base de données RDS doivent être configurées avec plusieurs Zones de disponibilité

Description : ce contrôle vérifie si la haute disponibilité est activée pour vos instances de base de données RDS. Les instances de base de données RDS doivent être configurées pour plusieurs Zones de disponibilité (AZ). Cela garantit la disponibilité des données stockées. Les déploiements sur plusieurs zones de disponibilité permettent un basculement automatique en cas de problème de disponibilité de la zone de disponibilité et pendant la maintenance régulière de RDS.

Gravité : moyenne

La protection contre la suppression doit être activée pour les instances de base de données RDS

Description : ce contrôle vérifie si vos instances de base de données RDS qui utilisent l’un des moteurs de base de données répertoriés sont activées. L’activation de la protection contre la suppression d’instance est une autre couche de protection contre la suppression ou la suppression accidentelles d’une base de données par une entité non autorisée. Lorsque la protection contre la suppression est activée, une instance de base de données RDS ne peut pas être supprimée. Pour qu’une demande de suppression aboutisse, la protection contre la suppression doit être désactivée.

Gravité : faible

Le chiffrement au repos doit être activé sur les instances de base de données RDS

Description : Ce contrôle vérifie si le chiffrement de stockage est activé pour vos instances de base de données Amazon RDS. Ce contrôle est destiné aux instances de base de données RDS. Toutefois, il peut également générer des résultats pour les instances de base de données Aurora, les instances de base de données Neptune et les clusters Amazon DocumentDB. Si ces résultats ne sont pas utiles, vous pouvez les supprimer. Pour obtenir une couche supplémentaire de sécurité pour vos données sensibles dans les instances de base de données RDS, vous devez configurer vos instances de base de données RDS pour qu’elles soient chiffrées au repos. Pour chiffrer vos instantanés et instances de base de données RDS au repos, activez l’option de chiffrement pour vos instances de base de données RDS. Les données chiffrées au repos incluent le stockage sous-jacent des instances de base de données, ses sauvegardes automatiques, ses réplicas de lecture et ses instantanés. Les instances de base de données chiffrées RDS utilisent l’algorithme de chiffrement AES-256 standard ouvert pour chiffrer vos données sur le serveur qui héberge vos instances de base de données RDS. Une fois vos données chiffrées, Amazon RDS gère l’authentification de l’accès et le déchiffrement de vos données de façon transparente avec un impact minimal sur le niveau de performance. Vous n’avez pas besoin de modifier vos applications clientes de base de données pour utiliser le chiffrement. Le chiffrement d’Amazon RDS est actuellement disponible pour tous les moteurs de base de données et tous les types de stockage. Le chiffrement d’Amazon RDS est disponible pour la plupart des classes d’instance de base de données. Pour en savoir plus sur les classes d’instances de base de données qui ne prennent pas en charge le chiffrement Amazon RDS, consultez Chiffrement des ressources Amazon RDS dans le Guide de l’utilisateur d’Amazon RDS.

Gravité : moyenne

Les instances de base de données RDS doivent interdire l’accès public

Description : Nous vous recommandons également de vous assurer que l’accès à la configuration de votre instance RDS est limité uniquement aux utilisateurs autorisés, en limitant les autorisations IAM des utilisateurs pour modifier les paramètres et les ressources des instances RDS.

Gravité : élevée

Les instantanés RDS doivent interdire l’accès public

Description : nous vous recommandons d’autoriser uniquement les principaux autorisés à accéder à l’instantané et à modifier la configuration Amazon RDS.

Gravité : élevée

Supprimer les secrets inutilisés de Secrets Manager

Description : ce contrôle vérifie si vos secrets ont été consultés dans un nombre spécifié de jours. La valeur par défaut est de 90 jours. Si un secret n’a pas été consulté dans le nombre de jours défini, ce contrôle échoue. La suppression des secrets inutilisés est aussi importante que la rotation des secrets. Les secrets inutilisés peuvent être utilisés abusivement par leurs anciens utilisateurs, qui n’ont plus besoin d’y accéder. En outre, lorsque de plus en plus d’utilisateurs ont accès à un secret, il devient possible que quelqu’un le manipule mal et le divulgue à une entité non autorisée, ce qui augmente le risque d’abus. La suppression des secrets inutilisés permet de révoquer l’accès aux secrets des utilisateurs qui n’en ont plus besoin. Elle permet également de réduire le coût d’utilisation du gestionnaire de secrets. Par conséquent, il est essentiel de supprimer régulièrement les secrets inutilisés.

Gravité : moyenne

La réplication interrégion doit être activée sur les compartiments S3

Description : L’activation de la réplication interrégion S3 garantit que plusieurs versions des données sont disponibles dans différentes régions distinctes. Cela vous permet de protéger votre compartiment S3 contre les attaques DDoS et les événements d’altération des données.

Gravité : faible

Le chiffrement côté serveur doit être activé sur les compartiments S3

Description : activez le chiffrement côté serveur pour protéger les données dans vos compartiments S3. Le chiffrement des données peut empêcher l’accès aux données sensibles en cas de violation des données.

Gravité : moyenne

Les secrets Secrets Manager configurés avec la rotation automatique doivent effectuer la rotation correctement

Description : ce contrôle vérifie si un secret AWS Secrets Manager a été pivoté correctement en fonction de la planification de rotation. Le contrôle échoue si RotationOccurringAsScheduled a la valeur false. Le contrôle n’évalue pas les secrets qui n’ont pas de rotation configurée. Secrets Manager vous aide à améliorer la posture de sécurité de votre organisation. Les secrets incluent des informations d’identification de base de données, des mots de passe et des clés API tierces. Vous pouvez utiliser Secrets Manager pour stocker des secrets de manière centralisée, chiffrer les secrets automatiquement, contrôler l’accès aux secrets et effectuer la rotation des secrets en toute sécurité et automatiquement. Secrets Manager peut effectuer la rotation des secrets. Vous pouvez utiliser la rotation pour remplacer des secrets à long terme par des secrets à court terme. La rotation de vos secrets limite la durée pendant laquelle un utilisateur non autorisé peut utiliser un secret compromis. C’est pourquoi vous devez fréquemment effectuer la rotation de vos secrets. En plus de configurer des secrets pour une rotation automatique, vous devez vous assurer que ces secrets effectuent correctement la rotation en fonction de la planification de cette dernière. Pour en savoir plus sur la rotation, consultez Rotation des secrets d’AWS Secrets Manager dans le guide de l’utilisateur d’AWS Secrets Manager.

Gravité : moyenne

Les secrets Secrets Manager doivent effectuer une rotation dans un délai de jours spécifié

Description : ce contrôle vérifie si vos secrets ont été pivotés au moins une fois dans les 90 jours. La rotation des secrets peut vous aider à réduire le risque d’une utilisation non autorisée de vos secrets dans votre compte AWS. Il peut s’agir, par exemple, d’informations d’identification de base de données, de mots de passe, de clés API tierces, voire de texte arbitraire. Si vous ne modifiez pas vos secrets pendant une longue période, les secrets sont plus susceptibles d’être compromis. Plus le nombre d’utilisateurs ayant accès à un secret est élevé, plus il est probable que quelqu’un le manipule mal et le transmette à une entité non autorisée. Les secrets peuvent être divulgués par le biais des journaux et des données de cache. Ils peuvent être partagés à des fins de débogage et ne pas être modifiés ou révoqués une fois le débogage terminé. Pour toutes ces raisons, il est important d’effectuer une rotation fréquente des secrets. Vous pouvez configurer une rotation automatique de vos secrets dans AWS Secrets Manager. Grâce à la rotation automatique, vous pouvez remplacer des secrets à long terme par des secrets à court terme, ce qui réduit considérablement les risques de compromission. Security Hub vous recommande d’activer la rotation pour vos secrets Secrets Manager. Pour en savoir plus sur la rotation, consultez Rotation des secrets d’AWS Secrets Manager dans le guide de l’utilisateur d’AWS Secrets Manager.

Gravité : moyenne

Les rubriques SNS doivent être chiffrées au repos à l’aide d’AWS KMS

Description : ce contrôle vérifie si une rubrique SNS est chiffrée au repos à l’aide d’AWS KMS. Le chiffrement des données au repos réduit le risque d’accès aux données stockées sur le disque par un utilisateur non authentifié auprès d’AWS. Il ajoute également un autre ensemble de contrôles d’accès pour limiter la capacité des utilisateurs non autorisés à accéder aux données. Par exemple, des autorisations d’API sont nécessaires pour déchiffrer les données avant de pouvoir les lire. Les rubriques SNS doivent être chiffrées au repos pour une couche de sécurité ajoutée. Pour plus d’informations, consultez Chiffrement au repos dans le guide du développeur d’Amazon Simple Notification Service.

Gravité : moyenne

La journalisation de flux VPC doit être activée dans tous les VPC

Description : les journaux de flux DU VPC fournissent une visibilité du trafic réseau qui transite par le VPC et peuvent être utilisés pour détecter le trafic ou les insights anormales pendant les événements de sécurité.

Gravité : moyenne

Recommandations en matière de données GCP

Vérifiez que l'indicateur de base de données « 3625 (indicateur de trace) » pour l'instance cloud SQL SQL Server est défini sur « off »

Description : il est recommandé de définir l'indicateur de base de données « 3625 (indicateur de trace) » pour l'instance cloud SQL SQL Server sur « désactivé ». Les indicateurs de trace sont fréquemment utilisés pour diagnostiquer les problèmes de performances ou pour déboguer des procédures stockées ou des systèmes informatiques complexes, mais ils peuvent également être recommandés par Support Microsoft pour résoudre le comportement qui affecte négativement une charge de travail spécifique. Tous les indicateurs de trace documentés et ceux recommandés par Support Microsoft sont entièrement pris en charge dans un environnement de production lorsqu’ils sont utilisés comme indiqué. « 3625(journal de trace) » Limite la quantité d’informations retournées aux utilisateurs qui ne sont pas membres du rôle serveur fixe sysadmin, en masquant les paramètres de certains messages d’erreur à l’aide de « ****** ». Cela peut permettre d'éviter la divulgation d'informations sensibles. Par conséquent, il est recommandé de désactiver cet indicateur. Cette recommandation s’applique à SQL Server instances de base de données.

Gravité : moyenne

Vérifiez que l'indicateur de base de données « scripts externes activés » pour l'instance cloud SQL SQL Server est défini sur « off »

Description : il est recommandé de définir l'indicateur de base de données « scripts externes activés » pour que l'instance cloud SQL SQL Server soit désactivée. L’option « external scripts enabled » permet l’exécution de scripts avec certaines extensions de langage à distance. Cette propriété est désactivée par défaut. Quand Advanced Analytics Services est installé, le programme d’installation peut éventuellement définir cette propriété sur True. Étant donné que la fonctionnalité « Scripts externes activés » permet d’exécuter des scripts externes à SQL, comme des fichiers situés dans une bibliothèque R, ce qui peut nuire à la sécurité du système, elle doit être désactivée. Cette recommandation s’applique à SQL Server instances de base de données.

Gravité : élevée

Vérifiez que l'indicateur de base de données « accès à distance » pour l'instance cloud SQL SQL Server est défini sur « off »

Description : il est recommandé de définir l'indicateur de base de données « accès à distance » pour l'instance cloud SQL SQL Server sur « désactivé ». L'option « accès à distance » contrôle l'exécution des procédures stockées à partir de serveurs locaux ou distants sur lesquels les instances de SQL Server s'exécutent. La valeur par défaut de cette option est 1. Cette valeur autorise l'exécution des procédures stockées locales depuis des serveurs distants, ou des procédures stockées distantes depuis le serveur local. Pour empêcher l’exécution des procédures stockées locales depuis un serveur distant ou des procédures stockées distantes depuis le serveur local, désactivez option. L’option Remote Access contrôle l’exécution des procédures stockées locales sur les serveurs distants ou des procédures stockées distantes sur le serveur local. La fonctionnalité « Accès à distance » peut être abusée pour lancer une attaque par déni de service (DoS) sur des serveurs distants en désactivant le traitement des requêtes sur une cible. Cette recommandation s’applique à SQL Server instances de base de données.

Gravité : élevée

Vérifiez que l’indicateur de base de données « skip_show_database » pour l’instance Mysql CLOUD SQL a la valeur « activé »

Description : il est recommandé de définir l’indicateur de base de données « skip_show_database » pour l’instance Sql Mysql cloud sur « on ». L’indicateur de base de données « skip_show_database » empêche les utilisateurs d’utiliser l’instruction SHOW DATABASES s’ils n’ont pas le privilège SHOW DATABASES. Cela peut améliorer la sécurité si vous avez des préoccupations concernant la possibilité pour les utilisateurs de voir des bases de données appartenant à d’autres utilisateurs. Son effet dépend du privilège SHOW DATABASES : si la valeur de la variable est ON, l’instruction SHOW DATABASES n’est autorisée qu’aux utilisateurs disposant du privilège SHOW DATABASES, et l’instruction affiche tous les noms de base de données. Si la valeur est OFF, SHOW DATABASES est autorisé pour tous les utilisateurs, mais affiche uniquement les noms des bases de données pour lesquelles l’utilisateur dispose du privilège SHOW DATABASES ou d’un autre privilège. Cette recommandation s’applique aux instances de base de données MySQL.

Gravité : faible

Vérifiez qu’une clé de chiffrement gérée par le client (CMEK) par défaut est spécifiée pour tous les jeux de données BigQuery

Description : BigQuery chiffre par défaut les données au repos en utilisant le chiffrement d’enveloppe à l’aide de clés de chiffrement gérées par Google. Les données sont chiffrées à l’aide des clés de chiffrement des données, et les clés de chiffrement de données elles-mêmes sont davantage chiffrées à l’aide de clés de chiffrement de clé. Cette opération est transparente et ne nécessite aucune entrée supplémentaire de la part de l’utilisateur. Toutefois, si vous souhaitez avoir un meilleur contrôle, des clés de chiffrement gérées par le client (CMEK) peuvent être utilisées comme solution de gestion des clés de chiffrement pour les jeux de données BigQuery. Par défaut, BigQuery chiffre les données au repos en utilisant le chiffrement d’enveloppe à l’aide de clés de chiffrement gérées par Google. Cela est transparent et ne nécessite aucune entrée supplémentaire de l’utilisateur. Pour mieux contrôler le chiffrement, des clés de chiffrement gérées par le client (CMEK) peuvent être utilisées comme solution de gestion des clés de chiffrement pour les jeux de données BigQuery. La définition d’une clé de chiffrement gérée par le client (CMEK) par défaut pour un jeu de données garantit que toutes les tables créées à l’avenir utiliseront la clé CMEK spécifiée si aucune autre table n’est fournie.

Google ne stocke pas vos clés sur ses serveurs et ne peut pas accéder à vos données protégées, sauf si vous fournissez la clé.

Cela signifie également que si vous oubliez ou perdez votre clé, il n’existe aucun moyen pour Google de récupérer la clé ou de récupérer les données chiffrées avec la clé perdue.

Gravité : moyenne

Vérifiez que toutes les tables BigQuery sont chiffrées avec une clé de chiffrement gérée par le client (CMEK)

Description : BigQuery chiffre par défaut les données au repos en utilisant le chiffrement d’enveloppe à l’aide de clés de chiffrement gérées par Google. Les données sont chiffrées à l’aide des clés de chiffrement des données, et les clés de chiffrement de données elles-mêmes sont davantage chiffrées à l’aide de clés de chiffrement de clé. Cette opération est transparente et ne nécessite aucune entrée supplémentaire de la part de l’utilisateur. Toutefois, si vous souhaitez avoir un meilleur contrôle, des clés de chiffrement gérées par le client (CMEK) peuvent être utilisées comme solution de gestion des clés de chiffrement pour les jeux de données BigQuery. Si CMEK est utilisé, la CMEK est utilisée pour chiffrer les clés de chiffrement de données au lieu des clés de chiffrement gérées par Google. Par défaut, BigQuery chiffre les données au repos en utilisant le chiffrement d’enveloppe à l’aide de clés de chiffrement gérées par Google. Cela est transparent et ne nécessite aucune entrée supplémentaire de l’utilisateur. Pour mieux contrôler le chiffrement, des clés de chiffrement gérées par le client (CMEK) peuvent être utilisées comme solution de gestion des clés de chiffrement pour les tables BigQuery. La CMEK est utilisée pour chiffrer les clés de chiffrement de données au lieu des clés de chiffrement gérées par Google. BigQuery stocke la table et l’association CMEK, et le chiffrement/déchiffrement est effectué automatiquement. L’application des clés gérées par le client par défaut sur les jeux de données BigQuery garantit que toutes les nouvelles tables créées à l’avenir seront chiffrées à l’aide de CMEK, mais les tables existantes doivent être mises à jour pour utiliser CMEK individuellement.

Google ne stocke pas vos clés sur ses serveurs et ne peut pas accéder à vos données protégées, sauf si vous fournissez la clé. Cela signifie également que si vous oubliez ou perdez votre clé, il n’existe aucun moyen pour Google de récupérer la clé ou de récupérer les données chiffrées avec la clé perdue.

Gravité : moyenne

Vérifier que les jeux de données BigQuery ne sont pas accessibles de manière anonyme ou publique

Description : il est recommandé que la stratégie IAM sur les jeux de données BigQuery n’autorise pas l’accès anonyme et/ou public. L’octroi d’autorisations à allUsers ou allAuthenticatedUsers permet à quiconque d’accéder au jeu de données. Cet accès peut ne pas être souhaitable si des données sensibles sont stockées dans le jeu de données. Par conséquent, assurez-vous que l’accès anonyme et/ou public à un jeu de données n’est pas autorisé.

Gravité : élevée

Vérifier que les instances de base de données SQL cloud sont configurées avec des sauvegardes automatisées

Description : il est recommandé de définir toutes les instances de base de données SQL pour activer les sauvegardes automatisées. Les sauvegardes fournissent un moyen de restaurer une instance SQL cloud pour récupérer des données perdues ou récupérer suite à un problème avec cette instance. Les sauvegardes automatisées doivent être définies pour toute instance qui contient des données qui doivent être protégées contre la perte ou les dommages. Cette recommandation s’applique aux instances SQL Server, PostgreSql, MySql génération 1 et MySql de génération 2.

Gravité : élevée

Vérifiez que les instances de base de données SQL Cloud ne sont pas ouvertes au monde

Description : Le serveur de base de données doit accepter les connexions uniquement à partir de réseaux/adresses IP approuvés et restreindre l’accès à partir du monde. Pour réduire la surface d’attaque sur une instance de serveur de base de données, seules les adresses IP approuvées/connues et requises doivent être approuvées pour la connexion. Un réseau autorisé ne doit pas avoir d’adresses IP/réseaux configurés sur 0.0.0.0/0, ce qui permettra d’accéder à l’instance depuis n’importe où dans le monde. Notez que les réseaux autorisés s’appliquent uniquement aux instances avec des adresses IP publiques.

Gravité : élevée

Vérifier que les instances de base de données SQL cloud ne disposent pas d’adresses IP publiques

Description : il est recommandé de configurer l’instance Sql de deuxième génération pour utiliser des adresses IP privées au lieu d’adresses IP publiques. Pour réduire la surface d’attaque de l’organisation, les bases de données CLOUD SQL ne doivent pas avoir d’adresses IP publiques. Les adresses IP privées offrent une sécurité réseau améliorée et une latence plus faible pour votre application.

Gravité : élevée

Vérifier que le compartiment de stockage cloud n’est pas accessible de manière anonyme ou publique

Description : il est recommandé que la stratégie IAM sur le compartiment Stockage cloud n’autorise pas l’accès anonyme ou public. Autoriser l’accès anonyme ou public accorde des autorisations à quiconque pour accéder au contenu du compartiment. Ce type d’accès peut ne pas être souhaité si vous stockez des données sensibles. Par conséquent, assurez-vous que l’accès anonyme ou public à un compartiment n’est pas autorisé.

Gravité : élevée

Vérifier que les compartiments de stockage cloud ont un accès au niveau du compartiment uniforme activé

Description : il est recommandé d’activer l’accès uniforme au niveau du compartiment sur les compartiments de stockage cloud. Il est recommandé d’utiliser un accès uniforme au niveau du compartiment pour unifier et simplifier la façon dont vous accordez l’accès à vos ressources de stockage cloud. Le stockage cloud offre deux systèmes pour accorder aux utilisateurs l’autorisation d’accéder à vos compartiments et objets : Cloud Identity and Access Management (Cloud IAM) et Access Control Lists (ACL).
Ces systèmes agissent en parallèle : pour qu’un utilisateur accède à une ressource Cloud Storage, un seul des systèmes doit accorder l’autorisation à l’utilisateur. Cloud IAM est utilisé dans Google Cloud et vous permet d’accorder diverses autorisations au niveau du compartiment et du projet. Les listes de contrôle d’accès sont utilisées uniquement par Cloud Storage et ont des options d’autorisation limitées, mais elles vous permettent d’accorder des autorisations par objet.

Pour prendre en charge un système d’autorisation uniforme, Cloud Storage dispose d’un accès uniforme au niveau du compartiment. L’utilisation de cette fonctionnalité désactive les listes de contrôle d’accès pour toutes les ressources de stockage cloud : l’accès aux ressources de stockage cloud est alors accordé exclusivement via Cloud IAM. L’activation de l’accès uniforme au niveau du compartiment garantit que si un compartiment de stockage n’est pas accessible publiquement, aucun objet du compartiment n’est accessible publiquement.

Gravité : moyenne

Vérifiez que le calcul confidentiel est activé pour les instances de calcul

Description : Google Cloud chiffre les données au repos et en transit, mais les données client doivent être déchiffrées pour traitement. L’informatique confidentielle est une technologie révolutionnaire qui chiffre les données en cours d’utilisation pendant qu’elles sont traitées. Les environnements d’informatique confidentielle conservent les données chiffrées en mémoire et ailleurs en dehors de l’unité centrale (UC). Les machines virtuelles confidentielles tirent parti de la fonctionnalité de virtualisation sécurisée (SEV) des processeurs AMD EPYC. Les données client restent chiffrées pendant qu’elles sont utilisées, indexées, interrogées ou entraînées. Les clés de chiffrement sont générées dans le matériel, pour chaque machine virtuelle, et ne peuvent pas être exportées. Grâce aux optimisations matérielles intégrées des performances et de la sécurité, il n’existe aucune pénalité significative en matière de performances pour les charges de travail d’informatique confidentielle. L’informatique confidentielle permet au code et d’autres données sensibles des clients d’être chiffrés en mémoire pendant le traitement. Google n’a pas accès aux clés de chiffrement. Les machines virtuelles confidentielles peuvent aider à atténuer les préoccupations relatives aux risques liés à la dépendance vis-à-vis de l’infrastructure Google ou à l’accès des éléments internes de Google aux données des clients en clair.

Gravité : élevée

Vérifiez que les stratégies de rétention sur les compartiments de journal sont configurées à l’aide du verrou de compartiment

Description : L’activation des stratégies de rétention sur les compartiments de journaux protégera les journaux stockés dans les compartiments de stockage cloud d’être remplacés ou supprimés accidentellement. Il est recommandé de configurer des stratégies de rétention et de configurer le verrou de compartiment sur tous les compartiments de stockage utilisés comme récepteurs de journaux. Les journaux peuvent être exportés en créant un ou plusieurs récepteurs qui incluent un filtre de journal et une destination. Comme Stackdriver Logging reçoit de nouvelles entrées de journal, elles sont comparées à chaque récepteur. Si une entrée de journal correspond au filtre d’un récepteur, une copie de l’entrée de journal est écrite dans la destination. Les récepteurs peuvent être configurés pour exporter des journaux dans des compartiments de stockage. Il est recommandé de configurer une stratégie de rétention des données pour ces compartiments de stockage cloud et de verrouiller la stratégie de rétention des données ; empêche ainsi définitivement la stratégie d’être réduite ou supprimée. De cette façon, si le système est compromis par un attaquant ou un élément interne malveillant qui souhaite couvrir ses traces, les journaux d’activité sont définitivement conservés pour les enquêtes de sécurité et d’investigation.

Gravité : faible

Vérifier que l’instance de base de données SQL cloud nécessite l’utilisation de SSL pour toutes les connexions entrantes

Description : il est recommandé d’appliquer toutes les connexions entrantes à l’instance de base de données SQL pour utiliser SSL. Connexions de base de données SQL si elles ont été interceptées avec succès (MITM) ; peut révéler des données sensibles telles que les informations d’identification, les requêtes de base de données, les sorties de requête, etc. Pour la sécurité, il est recommandé d’utiliser toujours le chiffrement SSL lors de la connexion à votre instance. Cette recommandation s’applique aux instances Postgresql, MySql génération 1 et MySql de génération 2.

Gravité : élevée

Vérifiez que l'indicateur de base de données « authentification de base de données autonome » pour Cloud SQL sur l'instance SQL Server est défini sur « off »

Description : il est recommandé de définir l'indicateur de base de données « authentification de base de données autonome » pour Cloud SQL sur l'instance SQL Server est défini sur « désactivé ». Une base de données autonome inclut tous les paramètres et métadonnées de base de données requis pour définir la base de données et n'a aucune dépendance de configuration sur l'instance de l'Moteur de base de données où la base de données est installée. Les utilisateurs peuvent se connecter à la base de données sans authentifier une connexion au niveau Moteur de base de données. L’isolation de la base de données de la Moteur de base de données permet de déplacer facilement la base de données vers une autre instance de SQL Server. Les bases de données autonomes présentent certaines menaces uniques qui doivent être comprises et atténuées par Moteur de base de données SQL Server administrateurs. La plupart des menaces sont liées au processus d’authentification USER WITH PASSWORD, qui déplace la limite d’authentification du niveau Moteur de base de données au niveau de la base de données. Il est donc recommandé de désactiver cet indicateur. Cette recommandation s’applique à SQL Server instances de base de données.

Gravité : moyenne

Vérifiez que l'indicateur de base de données « cross db ownership chaining » pour l'instance cloud SQL SQL Server est défini sur « off »

Description : il est recommandé de définir l'indicateur de base de données « chaînage de propriétés entre bases de données » pour l'instance cloud SQL SQL Server sur « désactivé ». Utilisez l'option « propriété inter-bases de données » pour configurer le chaînage de propriétés entre bases de données pour une instance de Microsoft SQL Server. Cette option de serveur vous permet de contrôler le chaînage des propriétés des bases de données croisées au niveau de la base de données ou d’autoriser le chaînage des propriétés des bases de données croisées pour toutes les bases de données. L'activation de la « propriété entre bases de données » n'est pas recommandée, sauf si toutes les bases de données hébergées par l'instance de SQL Server doivent participer au chaînage de propriétés entre bases de données et que vous connaissez les implications de sécurité de ce paramètre. Cette recommandation s’applique à SQL Server instances de base de données.

Gravité : moyenne

Vérifiez que l’indicateur de base de données « local_infile » pour une instance Cloud SQL Mysql est défini sur « désactivé »

Description : il est recommandé de définir l’indicateur de base de données local_infile pour qu’une instance Sql Sql Cloud soit désactivée. L’indicateur local_infile contrôle la fonctionnalité LOCAL côté serveur pour les instructions LOAD DATA. Selon le paramètre local_infile, le serveur refuse ou autorise le chargement de données locales par les clients pour lesquels LOCAL est activé. Pour que le serveur refuse explicitement les instructions LOAD DATA LOCAL (quelle que soit la façon dont les programmes et bibliothèques clients sont configurés au moment de la génération ou au moment de l’exécution), commencez mysqld par local_infile désactivé. local_infile peut également être défini au moment de l’exécution. En raison des problèmes de sécurité associés à l’indicateur de local_infile, il est recommandé de le désactiver. Cette recommandation s’applique aux instances de base de données MySQL.

Gravité : moyenne

Vérifier que les alertes et le filtre de métrique du journal existent pour les changements d’autorisations IAM du stockage cloud

Description : il est recommandé d’établir un filtre de métrique et une alarme pour les modifications IAM du compartiment de stockage cloud. La surveillance des modifications apportées aux autorisations de compartiment de stockage cloud peut réduire le temps nécessaire pour détecter et corriger les autorisations sur les compartiments et objets de stockage cloud sensibles à l’intérieur du compartiment.

Gravité : faible

Vérifier que les alertes et le filtre de métrique du journal existent pour les modifications de la configuration d’instance SQL

Description : il est recommandé d’établir un filtre de métrique et une alarme pour les modifications de configuration de l’instance SQL. La surveillance des modifications apportées aux modifications de configuration d’instance SQL peut réduire le temps nécessaire pour détecter et corriger les configurations incorrectes effectuées sur le serveur SQL. Voici quelques-unes des options configurables qui peuvent avoir un impact sur la posture de sécurité d’une instance SQL :

• Activer les sauvegardes automatiques et la haute disponibilité : une configuration incorrecte peut avoir un impact négatif sur la continuité d’activité, la récupération d’urgence et la haute disponibilité
• Autoriser les réseaux : la configuration incorrecte peut augmenter l’exposition aux réseaux non approuvés

Gravité : faible

Vérifiez qu’il n’y a que des clés de compte de service gérées par GCP pour chaque compte de service

Description : Les comptes de service gérés par l’utilisateur ne doivent pas avoir de clés gérées par l’utilisateur. Toute personne ayant accès aux clés peut accéder aux ressources via le compte de service. Les clés gérées par GCP sont utilisées par les services de plateforme cloud comme App Engine et Compute Engine. Ces clés ne peuvent pas être téléchargées. Google conservera les clés et les fera pivoter automatiquement sur une base hebdomadaire environ. Les clés gérées par l’utilisateur sont créées, téléchargeables et gérées par les utilisateurs. Elles expirent 10 ans après leur création. Pour les clés gérées par l’utilisateur, l’utilisateur doit prendre possession des activités de gestion des clés, notamment :

• Stockage des clés
• Distribution de clés
• Révocation de la clé
• Rotation des clés
• Protection par clé contre les utilisateurs non autorisés
• Récupération de clé

Même avec les précautions des propriétaires clés, les clés peuvent être facilement divulguées par des pratiques de développement moins qu’optimales, telles que la vérification des clés dans le code source ou leur laisser dans le répertoire Téléchargements, ou les laisser accidentellement sur les blogs/canaux de support. Il est recommandé d’empêcher les clés de compte de service gérés par l’utilisateur.

Gravité : faible

Vérifiez que l'indicateur de base de données « connexions utilisateur » pour l'instance cloud SQL SQL Server est défini selon les besoins

Description : il est recommandé de définir l'indicateur de base de données « connexions utilisateur » pour l'instance cloud SQL SQL Server en fonction de la valeur définie par l'organisation. L’option « connexions utilisateur » spécifie le nombre maximal de connexions utilisateur simultanées autorisées sur une instance de SQL Server. Le nombre réel de connexions utilisateur autorisées dépend également de la version de SQL Server que vous utilisez, ainsi que des limites de votre application ou de vos applications et matériels. SQL Server autorise un maximum de 32 767 connexions utilisateur. Étant donné que les connexions utilisateur sont une option dynamique (autoconfiguration), SQL Server ajuste automatiquement le nombre maximal de connexions utilisateur en fonction des besoins, jusqu’à la valeur maximale autorisée. Par exemple, si seuls 10 utilisateurs sont connectés, 10 objets connexion utilisateur sont alloués. Dans la plupart des cas, il est inutile de modifier la valeur de cette option. La valeur par défaut est zéro, ce qui signifie que le nombre maximal (32 767) de connexions utilisateur est autorisé. Cette recommandation s’applique à SQL Server instances de base de données.

Gravité : faible

Vérifiez que l'indicateur de base de données « options utilisateur » pour l'instance cloud SQL SQL Server n'est pas configuré

Description : il est recommandé de ne pas configurer l'indicateur de base de données « options utilisateur » pour l'instance cloud SQL SQL Server. L’option « user options » spécifie des valeurs par défaut globales pour tous les utilisateurs. Une liste d'options de traitement des requêtes par défaut est générée pour la durée d'une session de travail d'un utilisateur. Le paramètre d’options utilisateur vous permet de modifier les valeurs par défaut des options SET (si les paramètres par défaut du serveur ne sont pas appropriés). L'utilisateur peut remplacer ces valeurs par défaut à l'aide de l'instruction SET. Pour les nouvelles connexions, vous pouvez configurer dynamiquement l'option user options . Après avoir modifié le paramètre des options utilisateur, les nouvelles sessions de connexion utilisent le nouveau paramètre ; Les sessions de connexion actuelles ne sont pas affectées. Cette recommandation s’applique à SQL Server instances de base de données.

Gravité : faible

La journalisation pour les clusters GKE doit être activée

Description : cette recommandation évalue si la propriété loggingService d’un cluster contient l’emplacement que la journalisation cloud doit utiliser pour écrire des journaux.

Gravité : élevée

Le contrôle de version d’objet doit être activé sur les compartiments de stockage où les récepteurs sont configurés

Description : cette recommandation évalue si le champ activé dans la propriété de contrôle de version du compartiment a la valeur true.

Gravité : élevée

Les identités surprovisionnées dans les projets doivent être examinées pour réduire l’index d’analyse des autorisations

Description : les identités surprovisionnée dans les projets doivent être examinées pour réduire l’index PCI (Permission Creep Index) et protéger votre infrastructure. Réduisez l’index PCI en supprimant les attributions d’autorisations à haut risque inutilisées. La norme PCI élevée reflète les risques associés aux identités disposant d’autorisations qui dépassent leur utilisation normale ou requise.

Gravité : moyenne

Les projets qui ont des clés de chiffrement ne doivent pas avoir d’utilisateurs disposant d’autorisations de propriétaire

Description : cette recommandation évalue la stratégie d’autorisation IAM dans les métadonnées de projet pour les principaux affectés aux rôles/propriétaires.

Gravité : moyenne

Les compartiments de stockage utilisés comme récepteur de journaux ne doivent pas être accessibles publiquement

Description : cette recommandation évalue la stratégie IAM d’un compartiment pour les principaux allUsers ou allAuthenticatedUsers, qui accordent un accès public.

Gravité : élevée

Les sauvegardes géoredondantes doivent être activées pour les serveurs PostgreSQL

Description :
Qu’est-ce que la sauvegarde géoredondante ? La sauvegarde géoredondante réplique les sauvegardes de serveur dans une région Azure jumelée, ce qui offre une résilience contre les défaillances régionales.

Pourquoi est-ce un problème de sécurité ? Si des sauvegardes géoredondantes sont désactivées, une panne régionale peut entraîner une perte de données et un temps d’arrêt étendu, ce qui a un impact sur la disponibilité et la conformité.

Comment les attaquants peuvent-ils l’exploiter ou comment peuvent-ils entraîner des violations de données ? Bien qu’il ne soit pas directement exploitable, le manque de géoredondance augmente l’impact des catastrophes ou des attaques ciblées sur une seule région.

Gravité : faible

require_secure_transport doit être défini sur on pour les serveurs Azure Database pour PostgreSQL

Description :
Qu’est-ce que require_secure_transport ? require_secure_transport est un paramètre au niveau du serveur qui applique l’utilisation de SSL/TLS pour toutes les connexions clientes à PostgreSQL. Quand la valeur est activée, les clients doivent se connecter à l’aide de canaux chiffrés.

Pourquoi est-ce un problème de sécurité ? Si ce paramètre est désactivé (désactivé), les clients peuvent se connecter sur des canaux non chiffrés, exposant des données sensibles telles que les informations d’identification, les requêtes et les résultats à l’interception ou à la manipulation.

Comment les attaquants peuvent-ils l’exploiter ou comment peuvent-ils entraîner des violations de données ? Un attaquant sur le réseau peut effectuer une attaque man-in-the-middle, intercepter ou modifier les données échangées entre le client et le serveur si le chiffrement n’est pas appliqué.

Gravité : élevée

Le point de terminaison privé doit être configuré pour les serveurs Azure Database pour PostgreSQL

Description :

Qu’est-ce qu’un point de terminaison privé ? Un point de terminaison privé dans Azure permet aux ressources d’être accessibles en toute sécurité via une adresse IP privée au sein d’un réseau virtuel. Pour Azure Database pour PostgreSQL serveurs, la configuration d’un point de terminaison privé garantit que le trafic de base de données ne traverse pas l’Internet public.

Pourquoi est-ce un problème de sécurité ? Sans point de terminaison privé, le serveur peut être exposé à l’accès au réseau public, ce qui augmente le risque d’accès non autorisé, d’interception de données et d’attaques par déni de service.

Comment les attaquants peuvent-ils l’exploiter ou comment peuvent-ils entraîner des violations de données ? Un attaquant peut analyser les plages d’adresses IP publiques pour détecter les serveurs exposés et tenter des attaques par force brute ou basées sur des attaques basées sur des attaques. L’exposition publique augmente également le risque d’exfiltration des données par le biais de clients compromis.

Gravité : élevée

« Autoriser l'accès aux services Azure » doit être désactivé pour les serveurs PostgreSQL

Description :

Qu'est-ce que « Autoriser l'accès aux services Azure » ? Ce paramètre crée une règle de pare-feu qui permet à tous les services Azure de se connecter au serveur PostgreSQL. Bien qu’il soit pratique, il présente un risque significatif en autorisant les connexions à partir de n’importe quel abonnement Azure.

Pourquoi est-ce un problème de sécurité ? L’activation de ce paramètre contourne les contrôles d’isolation réseau, ce qui expose potentiellement la base de données à un accès non autorisé à partir de locataires externes Azure.

Comment les attaquants peuvent-ils l’exploiter ou comment peuvent-ils entraîner des violations de données ? Un attaquant fonctionnant à partir d’un autre abonnement Azure peut tenter d’attaques par force brute ou d’exploiter des vulnérabilités si cette règle est activée.

Gravité : élevée

Contenu connexe

• En savoir plus sur les recommandations de sécurité
• Passer en revue les recommandations de sécurité