Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Bewährte Betriebspraktiken für ACSC ISM — Teil 2
Konformitätspakete bieten ein allgemeines Compliance-Framework, das es Ihnen ermöglicht, mithilfe verwalteter oder benutzerdefinierter AWS Config Regeln und Abhilfemaßnahmen Kontrollen zur Sicherheits-, Betriebs- oder Kostenoptimierung durchzuführen. AWS Config Conformance Packs dienen als Beispielvorlagen nicht dazu, die vollständige Einhaltung eines bestimmten Governance- oder Compliance-Standards sicherzustellen. Sie sind dafür verantwortlich, selbst zu beurteilen, ob Ihre Nutzung der Services den geltenden gesetzlichen und behördlichen Anforderungen entspricht.
Im Folgenden finden Sie eine zusätzliche Beispielzuordnung zwischen dem Information Security Manual (ISM) 2020-06 des Australian Cyber Security Centre (ACSC) und AWS verwalteten Konfigurationsregeln. Jede Config-Regel gilt für eine bestimmte AWS Ressource und bezieht sich auf eine oder mehrere ISM-Steuerelemente. Eine ISM-Kontrolle kann mehreren Konfigurationsregeln zugeordnet werden. In der folgenden Tabelle finden Sie weitere Informationen und Anleitungen zu diesen Zuordnungen.
Diese Vorlage für ein Konformitätspaket enthält Zuordnungen zu Kontrollen innerhalb des ISM-Frameworks, das vom Commonwealth of Australia erstellt wurde und im Australian Government Information Security Manual
| Kontroll-ID | AWS Config | Empfehlungen |
|---|---|---|
| 1984 |
Überprüft, ob die Backend-Standardeinstellungen für AWS App Mesh virtuelle Gateways erfordern, dass die virtuellen Gateways mit allen Ports über TLS kommunizieren. Die Regel ist NON_COMPLIANT, wenn Configuration.spec. BackendDefaults. ClientPolicy.Tls.Enforce ist falsch. |
|
| 1984 |
Überprüft, ob die Backend-Standardeinstellungen für AWS App Mesh virtuelle Knoten erfordern, dass die virtuellen Knoten mit allen Ports über TLS kommunizieren. Die Regel ist NON_COMPLIANT, wenn Configuration.spec. BackendDefaults. ClientPolicy.Tls.Enforce ist falsch. |
|
| 1984 |
Prüft, ob ein Amazon-MSK-Cluster die Verschlüsselung bei der Übertragung erzwingt, indem er für die Broker-Knoten des Clusters HTTPS (TLS) verwendet. Die Regel ist NON_COMPLIANT, wenn Klartextkommunikation für Broker-Knotenverbindungen in Clustern aktiviert ist. |
|
| 1984 |
Prüft, ob Verbindungen zu Amazon RDS for MySQL MySQL-Datenbank-Instances so konfiguriert sind, dass sie Verschlüsselung bei der Übertragung verwenden. Die Regel lautet NON_COMPLIANT, wenn die zugehörige Datenbankparametergruppe nicht synchron ist oder wenn der Parameter require_secure_transport nicht auf 1 gesetzt ist. |
|
| 1984 |
Prüft, ob Verbindungen zu Amazon RDS for PostgreSQL PostgreSQL-Datenbank-Instances so konfiguriert sind, dass sie Verschlüsselung bei der Übertragung verwenden. Die Regel lautet NON_COMPLIANT, wenn die zugehörige Datenbankparametergruppe nicht synchron ist oder wenn der rds.force_ssl-Parameter nicht auf 1 gesetzt ist. |
|
| 1985 |
Prüft, ob Amazon Elastic Block Store (Amazon EBS)-Snapshots nicht öffentlich wiederherstellbar sind. Die Regel lautet NON_COMPLIANT, wenn ein oder mehrere Snapshots mit RestorableByUserIds Feld auf all gesetzt sind, d. h. Amazon EBS-Snapshots sind öffentlich. |
|
| 1985 |
Prüft, ob Amazon Elastic Block Store (Amazon EBS)-Snapshots nicht öffentlich wiederherstellbar sind. Die Regel lautet NON_COMPLIANT, wenn ein oder mehrere Snapshots mit RestorableByUserIds Feld auf all gesetzt sind, d. h. Amazon EBS-Snapshots sind öffentlich. |
|
| 1985 |
Prüft, ob Ihre S3-Buckets keinen öffentlichen Lesezugriff zulassen. Mit dieser Regel werden die Einstellungen für „Block Public Access“ (Blockieren des öffentlichen Zugriffs), die Bucket-Richtlinie und die Bucket-Zugriffskontrollliste (ACL) überprüft. Die Regel ist konform, wenn die beiden folgenden Punkte erfüllt sind:
Die Regel ist nicht konform, wenn:
|
|
| 1985 |
Prüft, ob Ihre Amazon-S3-Buckets keinen öffentlichen Schreibzugriff zulassen. Mit dieser Regel werden die Einstellungen für „Block Public Access“ (Blockieren des öffentlichen Zugriffs), die Bucket-Richtlinie und die Bucket-Zugriffskontrollliste (ACL) überprüft. Die Regel ist konform, wenn die beiden folgenden Punkte erfüllt sind:
Die Regel ist nicht konform, wenn:
|
|
| 1985 |
Überprüft, ob sich Amazon Aurora Aurora-DB-Cluster in einem Tresor mit logischem Air-Gap befinden. Die Regel lautet NON_COMPLIANT, wenn sich ein Amazon Aurora Aurora-DB-Cluster innerhalb des angegebenen Zeitraums nicht in einem Tresor mit logischem Air-Gap befindet. |
|
| 1985 |
Überprüft, ob sich Amazon Elastic Block Store (Amazon EBS) -Volumes in einem Tresor mit logischem Air-Gap befinden. Die Regel lautet NON_COMPLIANT, wenn sich ein Amazon EBS-Volume innerhalb des angegebenen Zeitraums nicht in einem Tresor mit logischem Air-Gap befindet. |
|
| 1985 |
Prüft, ob sich Amazon Elastic Block Store (Amazon EBS) -Instances in einem Tresor mit logischem Air-Gap befinden. Die Regel lautet NON_COMPLIANT, wenn sich eine Amazon EBS-Instance innerhalb des angegebenen Zeitraums nicht in einem Tresor mit logischem Air-Gap befindet. |
|
| 1985 |
Überprüft, ob sich die Dateisysteme von Amazon Elastic File System (Amazon EFS) in einem Tresor mit logischem Air-Gap befinden. Die Regel lautet NON_COMPLIANT, wenn sich ein Amazon EFS-Dateisystem innerhalb des angegebenen Zeitraums nicht in einem Tresor mit logischem Air-Gap befindet. |
|
| 1985 |
Überprüft, ob sich Amazon Simple Storage Service (Amazon S3) -Buckets in einem Tresor mit logischem Air-Gap befinden. Die Regel lautet NON_COMPLIANT, wenn sich ein Amazon S3 S3-Bucket innerhalb des angegebenen Zeitraums nicht in einem Tresor mit logischem Air-Gap befindet. |
Vorlage
Diese Vorlagen sind verfügbar unter GitHub: Operational Best Practices for ACSC
