Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Mejores prácticas operativas para ACSC ISM - Parte 2
Los paquetes de conformidad proporcionan un marco de cumplimiento de uso general diseñado para permitirle crear controles de seguridad, operativos o de optimización de costes mediante reglas gestionadas o personalizadas AWS Config y acciones correctivas. AWS Config Los paquetes de conformidad, como plantillas de ejemplo, no están diseñados para garantizar plenamente el cumplimiento de una norma de gobernanza o de conformidad específicas. Usted debe evaluar si su uso de los servicios cumple con los requisitos legales y normativos aplicables.
A continuación, se proporcionan ejemplos adicionales de mapeo entre el Manual de seguridad de la información (ISM) 2020-06 del Centro de Ciberseguridad de Australia (ACSC) y las reglas de AWS Config administradas. Cada regla de Config se aplica a un AWS recurso específico y se refiere a uno o más controles de ISM. Un control del ISM puede estar relacionado con varias reglas de Config. Consulte la siguiente tabla para obtener más detalles y orientación relacionados con estas asignaciones.
Este ejemplo de plantilla de paquete de conformidad contiene asignaciones a controles dentro del marco del ISM, creado por la Commonwealth de Australia y que está disponible en el Australian Government Information Security Manual
| ID de control | AWS Regla de configuración | Directrices |
|---|---|---|
| 1984 |
Comprueba si los valores predeterminados del backend para las puertas de enlace virtuales requieren que las puertas de enlace AWS App Mesh virtuales se comuniquen con todos los puertos mediante TLS. La regla no cumple con los requisitos de Configuration.spec. BackendDefaults. ClientPolicy.Tls.Enforce es falso. |
|
| 1984 |
Comprueba si los valores predeterminados del backend para los nodos AWS App Mesh virtuales requieren que los nodos virtuales se comuniquen con todos los puertos mediante TLS. La regla no cumple con los requisitos de Configuration.spec. BackendDefaults. ClientPolicy.Tls.Enforce es falso. |
|
| 1984 |
Comprueba si un clúster de Amazon MSK está cifrado en tránsito con HTTPS (TLS) con los nodos de agente del clúster. La regla es NON_COMPLIANT si la comunicación de texto sin formato está habilitada para conexiones de nodo de agente dentro del clúster. |
|
| 1984 |
Comprueba si las conexiones a las instancias de bases de datos de Amazon RDS para MySQL están configuradas para utilizar el cifrado en tránsito. La regla es NON_COMPLIANT si el grupo de parámetros de base de datos asociado no está sincronizado o si el parámetro require_secure_transport no está establecido en 1. |
|
| 1984 |
Comprueba si las conexiones a Amazon RDS para las instancias de bases de datos de PostgreSQL están configuradas para utilizar el cifrado en tránsito. La regla es NON_COMPLIANT si el grupo de parámetros de base de datos asociado no está sincronizado o si el parámetro rds.force_ssl no está establecido en 1. |
|
| 1985 |
Comprueba si las instantáneas de Amazon Elastic Block Store (Amazon EBS) no se pueden restaurar públicamente. La regla es NON_COMPLIANT si una o más instantáneas con el RestorableByUserIds campo están configuradas como todas, es decir, las instantáneas de Amazon EBS son públicas. |
|
| 1985 |
Comprueba si las instantáneas de Amazon Elastic Block Store (Amazon EBS) no se pueden restaurar públicamente. La regla es NON_COMPLIANT si una o más instantáneas con el RestorableByUserIds campo están configuradas como todas, es decir, las instantáneas de Amazon EBS son públicas. |
|
| 1985 |
Comprueba si sus buckets de Amazon S3 no permiten acceso de lectura público. La regla comprueba la configuración de Block Public Access, la política del bucket y la lista de control de acceso (ACL) del bucket. La regla se cumple cuando se dan las dos condiciones siguientes:
La regla no cumple con los siguientes requisitos cuando:
|
|
| 1985 |
Comprueba si sus buckets de Amazon S3 no permiten acceso de escritura público. La regla comprueba la configuración de Block Public Access, la política del bucket y la lista de control de acceso (ACL) del bucket. La regla se cumple cuando se dan las dos condiciones siguientes:
La regla no cumple con los siguientes requisitos cuando:
|
|
| 1985 |
Comprueba si los clústeres de bases de datos de Amazon Aurora están en un almacén aislado lógicamente. La regla es NON_COMPLIANT si hay un clúster de base de datos de Amazon Aurora que no está en un almacén aislado lógicamente dentro del período de tiempo especificado. |
|
| 1985 |
Comprueba si los volúmenes de Amazon Elastic Block Store (Amazon EBS) están dentro de un almacén aislado lógicamente. La regla es NON_COMPLIANT si hay un volumen de Amazon EBS que no está en un almacén aislado lógicamente dentro del período de tiempo especificado. |
|
| 1985 |
Comprueba si las instancias de Amazon Elastic Block Store (Amazon EBS) se encuentran en un almacén cerrado de forma lógica. La regla es NON_COMPLIANT si una instancia de Amazon EBS no se encuentra en un almacén con huecos lógicos dentro del período de tiempo especificado. |
|
| 1985 |
Comprueba si los sistemas de archivos de Amazon Elastic File System (Amazon EFS) están dentro de un almacén aislado lógicamente. La regla es NON_COMPLIANT si hay una sistema de archivos de Amazon EFS que no está en un almacén aislado lógicamente dentro del período de tiempo especificado. |
|
| 1985 |
Comprueba si los buckets de Amazon Simple Storage Service (Amazon S3) están dentro de un almacén aislado lógicamente. La regla es NON_COMPLIANT si hay un bucket de Amazon S3 que no está en un almacén aislado lógicamente dentro del período de tiempo especificado. |
Plantilla
Esta plantilla está disponible en GitHub: Mejores prácticas operativas para el ACSC
