Prácticas operativas recomendadas para ACSC ISM: parte 2
Los paquetes de conformidad proporcionan un marco de cumplimiento de uso general diseñado para permitirle crear comprobaciones de control de seguridad, operativas o de optimización de costos mediante reglas de AWS Config administradas o personalizadas y acciones correctivas de AWS Config. Los paquetes de conformidad, como plantillas de ejemplo, no están diseñados para garantizar plenamente el cumplimiento de una norma de gobernanza o de conformidad específicas. Usted debe evaluar si su uso de los servicios cumple con los requisitos legales y normativos aplicables.
A continuación, se proporciona un ejemplo de asignación adicional entre el Information Security Manual (ISM) 2020-06 del Australian Cyber Security Centre (ACSC) y las reglas de AWS Config administradas. Cada regla de Config se aplica a un recurso de AWS específico que está relacionado con uno o más controles del ISM. Un control del ISM puede estar relacionado con varias reglas de Config. Consulte la siguiente tabla para obtener más detalles y orientación relacionados con estas asignaciones.
Este ejemplo de plantilla de paquete de conformidad contiene asignaciones a controles dentro del marco del ISM, creado por la Commonwealth de Australia y que está disponible en el Australian Government Information Security Manual
| ID de control | Regla de AWS Config | Directrices |
|---|---|---|
| 1984 |
Comprueba si los valores predeterminados del backend para las puertas de enlace virtuales de AWS App Mesh requieren que las puertas de enlace virtuales se comuniquen con todos los puertos mediante TLS. La regla es NON_COMPLIANT si configuration.Spec.BackendDefaults.ClientPolicy.Tls.Enforce es False. |
|
| 1984 |
Comprueba si los valores predeterminados del backend para los nodos virtuales de AWS App Mesh requieren que los nodos virtuales se comuniquen con todos los puertos mediante TLS. La regla es NON_COMPLIANT si configuration.Spec.BackendDefaults.ClientPolicy.Tls.Enforce es False. |
|
| 1984 |
Comprueba si un clúster de Amazon MSK está cifrado en tránsito con HTTPS (TLS) con los nodos de agente del clúster. La regla es NON_COMPLIANT si la comunicación de texto sin formato está habilitada para conexiones de nodo de agente dentro del clúster. |
|
| 1984 |
Comprueba si las conexiones a las instancias de bases de datos de Amazon RDS para MySQL están configuradas para utilizar el cifrado en tránsito. La regla es NON_COMPLIANT si el grupo de parámetros de base de datos asociado no está sincronizado o si el parámetro require_secure_transport no está establecido en 1. |
|
| 1984 |
Comprueba si las conexiones a instancias de bases de datos de Amazon RDS para PostgreSQL están configuradas para utilizar cifrado en tránsito. La regla es NON_COMPLIANT si el grupo de parámetros de base de datos asociado no está sincronizado o si el parámetro rds.force_ssl no está establecido en 1. |
|
| 1985 |
Comprueba si las instantáneas de Amazon Elastic Block Store (Amazon EBS) no se pueden restaurar públicamente. La regla es NON_COMPLIANT si una o más instantáneas con el campo RestorableByUserIds están configuradas como todas, es decir, que las instantáneas de Amazon EBS son públicas. |
|
| 1985 |
Comprueba si las instantáneas de Amazon Elastic Block Store (Amazon EBS) no se pueden restaurar públicamente. La regla es NON_COMPLIANT si una o más instantáneas con el campo RestorableByUserIds están configuradas como todas, es decir, que las instantáneas de Amazon EBS son públicas. |
|
| 1985 |
Comprueba si sus buckets de Amazon S3 no permiten acceso de lectura público. La regla comprueba la configuración de Block Public Access, la política del bucket y la lista de control de acceso (ACL) del bucket. La regla se cumple cuando se dan las dos condiciones siguientes:
La regla no se cumple en los siguientes casos:
|
|
| 1985 |
Comprueba si sus buckets de Amazon S3 no permiten acceso de escritura público. La regla comprueba la configuración de Block Public Access, la política del bucket y la lista de control de acceso (ACL) del bucket. La regla se cumple cuando se dan las dos condiciones siguientes:
La regla no se cumple en los siguientes casos:
|
|
| 1985 |
Comprueba si los clústeres de bases de datos de Amazon Aurora están en un almacén aislado lógicamente. La regla es NON_COMPLIANT si hay un clúster de base de datos de Amazon Aurora que no está en un almacén aislado lógicamente dentro del período de tiempo especificado. |
|
| 1985 |
Comprueba si los volúmenes de Amazon Elastic Block Store (Amazon EBS) están dentro de un almacén aislado lógicamente. La regla es NON_COMPLIANT si hay un volumen de Amazon EBS que no está en un almacén aislado lógicamente dentro del período de tiempo especificado. |
|
| 1985 |
Comprueba si las instancias de Amazon Elastic Block Store (Amazon EBS) están dentro de un almacén aislado lógicamente. La regla es NON_COMPLIANT si hay una instancia de Amazon EBS que no está en un almacén aislado lógicamente dentro del período de tiempo especificado. |
|
| 1985 |
Comprueba si los sistemas de archivos de Amazon Elastic File System (Amazon EFS) están dentro de un almacén aislado lógicamente. La regla es NON_COMPLIANT si hay una sistema de archivos de Amazon EFS que no está en un almacén aislado lógicamente dentro del período de tiempo especificado. |
|
| 1985 |
Comprueba si los buckets de Amazon Simple Storage Service (Amazon S3) están dentro de un almacén aislado lógicamente. La regla es NON_COMPLIANT si hay un bucket de Amazon S3 que no está en un almacén aislado lógicamente dentro del período de tiempo especificado. |
Plantilla
Esta plantilla está disponible en GitHub: Prácticas operativas recomendadas para ACSC ISM
