déploiement de référence
PCI DSS et AWS Foundational Security Best Practices sur AWS
Déployer des flux automatisés pour corriger les écarts par rapport aux normes PCI DSS et AWS Foundational Security Best Practices
Cette solution utilise des modèles AWS CloudFormation pour déployer des flux de travail automatisés afin de corriger les écarts par rapport aux contrôles Payment Card Industry Data Security Standard (PCI DSS) et AWS Foundational Security Best Practices (AWS FSBP).
Avec ce déploiement, AWS Security Hub évalue en continu vos ressources AWS par rapport aux contrôles PCI DSS et AWS FSBP. Les écarts par rapport aux contrôles déclenchent un processus de correction automatisé à l'aide de règles AWS CloudWatch et de runbooks AWS Systems Manager. Security Hub traite les résultats des vérifications de sécurité et les classe par priorité en utilisant le format ASFF (AWS Security Finding Format).
Cette solution a été développée par AWS.
-
Votre projet de création
-
Procédure de déploiement
-
Coût et licences
-
Votre projet de création
-
Cette solution met en place les éléments suivants :
- Security Hub pour compiler les résultats des évaluations automatisées et continues des contrôles PCI DSS et AWS FSBP par rapport à vos ressources AWS. Les actions personnalisées dans Security Hub envoient les résultats à CloudWatch sous la forme d'événements personnalisés.*
- CloudWatch pour faire correspondre un événement personnalisé de Security Hub à une règle qui déclenche une fonction AWS Lambda.
- Des fonctions AWS Lambda pour appeler le runbook Systems Manager approprié afin de corriger un écart par rapport aux contrôles PCI DSS ou AWS FSBP.
- Systems Manager pour effectuer les actions de correction automatisées définies dans les runbooks.
*La norme de conformité PCI DSS dans Security Hub est conçue pour vous aider dans le cadre des activités de sécurité PCI DSS courantes. Les contrôles ne peuvent pas vérifier si vos systèmes sont conformes à la norme PCI DSS. Ils ne peuvent pas remplacer les activités internes ni garantir la réussite d'une évaluation PCI DSS. Security Hub ne vérifie pas les contrôles de procédure qui nécessitent une collecte manuelle d'éléments de preuve.
Des conseils spécifiques sur la création et la maintenance des applications compatibles avec PCI DSS sont disponibles dans AWS Security Assurance Services.
-
Procédure de déploiement
-
Pour déployer cette solution, suivez les instructions du guide de déploiement, qui comprend les étapes suivantes.
- Si vous n'avez pas encore de compte AWS, créez-en sur https://aws.amazon.com et connectez-vous à votre compte.
- Lancez la solution. Le déploiement de la pile prend environ 20 minutes. Avant la création de la pile, sélectionnez la région AWS dans la barre d'outils supérieure. Choisissez l'une des options suivantes :
- Testez le déploiement.
Amazon peut être amené à partager les informations relatives au déploiement des utilisateurs avec le partenaire AWS qui a élaboré cette solution en collaboration avec AWS.
-
Coût et licences
-
Vous êtes responsable du paiement du coût des services AWS et des licences tierces utilisées lors de l'exécution de cette solution. Aucun frais supplémentaire ne vous sera facturé pour l'utilisation de la solution.
Cette solution propose des paramètres de configuration que vous pouvez personnaliser. Certains de ces paramètres, tel que le type d'instance, affectent le coût du déploiement. Reportez-vous aux pages de tarification pour les estimations de coûts de chaque service AWS que vous utilisez. Les prix sont susceptibles d'être modifiés.
Astuce : après avoir déployé une solution, créez des Rapports de coût et d'utilisation AWS afin de suivre les coûts afférents à la solution. Ces rapports fournissent des métriques de facturation à un compartiment Amazon Simple Storage Service (Amazon S3) dans votre compte. Ils fournissent des estimations de coûts basées sur l'utilisation mensuelle et agrègent les données à la fin du mois. Pour en savoir plus, consultez la section Qu'est-ce que les rapports de coût et d'utilisation AWS ?
