Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Meilleures pratiques opérationnelles pour ACSC ISM - Partie 2
Les packs de conformité fournissent un cadre de conformité à usage général conçu pour vous permettre de créer des contrôles de gouvernance en matière de sécurité, d'exploitation ou d'optimisation des coûts à l'aide de AWS Config règles gérées ou personnalisées et d'actions correctives. AWS Config Les packs de conformité, en tant qu'exemples de modèle, ne sont pas conçus pour garantir pleinement la conformité à une norme de gouvernance ou de conformité spécifique. Il vous incombe de déterminer vous-même si votre utilisation des services est conforme aux exigences légales et réglementaires applicables.
Vous trouverez ci-dessous un exemple de mappage supplémentaire entre le manuel de sécurité de l'information (ISM) 2020-06 du Centre australien de cybersécurité (ACSC) et les règles de AWS configuration gérées. Chaque règle Config s'applique à une AWS ressource spécifique et concerne un ou plusieurs contrôles ISM. Un contrôle ISM peut être associé à plusieurs règles de configuration. Reportez-vous au tableau ci-dessous pour obtenir plus de détails et des conseils relatifs à ces mappages.
Cet exemple de modèle de pack de conformité contient des mappages vers les contrôles du cadre ISM, qui a été créé par le Commonwealth d'Australie et peut être consulté dans le Manuel de sécurité des informations du gouvernement australien
| ID du contrôle | AWS Règle de configuration | Conseils |
|---|---|---|
| 1 984 |
Vérifie si les paramètres par défaut du backend pour les passerelles AWS App Mesh virtuelles nécessitent que les passerelles virtuelles communiquent avec tous les ports à l'aide du protocole TLS. La règle est NON_COMPLIANT si Configuration.spec. BackendDefaults. ClientPolicy.Tls.Enforce est faux. |
|
| 1 984 |
Vérifie si les paramètres par défaut du backend pour les nœuds AWS App Mesh virtuels nécessitent que les nœuds virtuels communiquent avec tous les ports à l'aide du protocole TLS. La règle est NON_COMPLIANT si Configuration.spec. BackendDefaults. ClientPolicy.Tls.Enforce est faux. |
|
| 1 984 |
Vérifie si un cluster Amazon MSK applique le chiffrement en transit à l'aide du protocole HTTPS (TLS) avec les nœuds d'agent du cluster. La règle est NON_COMPLIANT si la communication en texte brut est activée pour les connexions de nœuds d'agent au sein du cluster. |
|
| 1 984 |
Vérifie si les connexions aux instances de base de données Amazon RDS for MySQL sont configurées pour utiliser le chiffrement en transit. La règle est NON_COMPLIANT si le groupe de paramètres de base de données associé n'est pas synchronisé ou si le paramètre require_secure_transport n'est pas défini sur 1. |
|
| 1 984 |
Vérifie si les connexions aux instances de base de données Amazon RDS for PostgreSQL sont configurées pour utiliser le chiffrement en transit. La règle est NON_COMPLIANT si le groupe de paramètres de base de données associé n'est pas synchronisé ou si le paramètre rds.force_ssl n'est pas défini sur 1. |
|
| 1985 |
Vérifie si les instantanés Amazon Elastic Block Store (Amazon EBS) ne sont pas publiquement restaurables. La règle est NON_COMPLIANT si un ou plusieurs instantanés avec RestorableByUserIds champ sont définis sur tous, c'est-à-dire que les instantanés Amazon EBS sont publics. |
|
| 1985 |
Vérifie si les instantanés Amazon Elastic Block Store (Amazon EBS) ne sont pas publiquement restaurables. La règle est NON_COMPLIANT si un ou plusieurs instantanés avec RestorableByUserIds champ sont définis sur tous, c'est-à-dire que les instantanés Amazon EBS sont publics. |
|
| 1985 |
Vérifie que vos compartiments Amazon S3 n'autorisent pas un accès public en lecture. La règle vérifie les paramètres de blocage d'accès public , la stratégie de compartiment et la liste de contrôle d'accès (ACL) du compartiment. La règle est conforme lorsque les deux conditions suivantes sont réunies :
La règle n'est pas conforme lorsque :
|
|
| 1985 |
Vérifie que vos compartiments Amazon S3 n'autorisent pas l'accès public en écriture. La règle vérifie les paramètres de blocage d'accès public , la stratégie de compartiment et la liste de contrôle d'accès (ACL) du compartiment. La règle est conforme lorsque les deux conditions suivantes sont réunies :
La règle n'est pas conforme lorsque :
|
|
| 1985 |
Vérifie si les clusters de base de données Amazon Aurora se trouvent dans un coffre-fort isolé de manière logique. La règle est NON_COMPLIANT si un cluster de base de données Amazon Aurora ne se trouve pas dans un coffre-fort logiquement isolé pendant la période spécifiée. |
|
| 1985 |
Vérifie si les volumes Amazon Elastic Block Store (Amazon EBS) se trouvent dans un coffre-fort ventilé de manière logique. La règle est NON_COMPLIANT si un volume Amazon EBS ne se trouve pas dans un coffre-fort logiquement espacé pendant la période spécifiée. |
|
| 1985 |
Vérifie si les instances Amazon Elastic Block Store (Amazon EBS) se trouvent dans un coffre-fort isolé de manière logique. La règle est NON_COMPLIANT si une instance Amazon EBS ne se trouve pas dans un coffre-fort logiquement espacé pendant la période spécifiée. |
|
| 1985 |
Vérifie si les systèmes de fichiers Amazon Elastic File System (Amazon EFS) se trouvent dans un coffre-fort isolé de manière logique. La règle est NON_COMPLIANT si un système de fichiers Amazon EFS ne se trouve pas dans un coffre-fort logiquement espacé pendant la période spécifiée. |
|
| 1985 |
Vérifie si les compartiments Amazon Simple Storage Service (Amazon S3) se trouvent dans un coffre-fort séparé de manière logique. La règle est NON_COMPLIANT si un compartiment Amazon S3 ne se trouve pas dans un coffre-fort logiquement isolé pendant la période spécifiée. |
Modèle
Ces modèles sont disponibles sur GitHub : Meilleures pratiques opérationnelles pour l'ACSC ISM - Partie 2.
