Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Meilleures pratiques opérationnelles pour NZISM 3.9 (extension)
Les packs de conformité fournissent un cadre de conformité à usage général conçu pour vous permettre de créer des contrôles de gouvernance en matière de sécurité, d'exploitation ou d'optimisation des coûts à l'aide de AWS Config règles gérées ou personnalisées et d'actions correctives. AWS Config Les packs de conformité, en tant qu'exemples de modèle, ne sont pas conçus pour garantir pleinement la conformité à une norme de gouvernance ou de conformité spécifique. Il vous incombe de déterminer vous-même si votre utilisation des services est conforme aux exigences légales et réglementaires applicables.
Vous trouverez ci-dessous un exemple de mappage entre le [manuel de sécurité des informations (NZISM) 2025-11 version 3.9 du Bureau de sécurité des communications du gouvernement de Nouvelle-Zélande (GCSB)](https://www.nzism.gcsb.govt.nz/ism-document) et les règles Managed Config. AWS Chaque règle Config s'applique à un type de AWS ressource spécifique et concerne un ou plusieurs contrôles NZISM. Un contrôle NZISM peut être associé à plusieurs règles de configuration. Reportez-vous au tableau ci-dessous pour obtenir plus de détails et des conseils relatifs à ces mappages. Seuls les contrôles représentant une pratique recommandée ou de référence pour les informations classées RESTREINT et ci-dessous sont inclus dans les mappages.
Cet exemple de modèle de pack de conformité contient des mappages avec des contrôles au sein du cadre NZISM, qui fait partie intégrante du cadre des exigences de protection en matière de sécurité (Protective Security Requirements, PSR) qui définit les attentes du gouvernement néo-zélandais en matière de gestion de la sécurité du personnel, de l'information et de la sécurité physique.
La partie Foundation de ce pack de conformité peut être déployée à Sydney et dans le monde entier. La partie NZ Transition contient le sous-ensemble des règles Foundation Config actuellement disponibles dans la région de la Nouvelle Zélande. La partie Fondation ne sera actuellement pas déployée dans la région de la Nouvelle Zélande. La partie Extension de ce pack de conformité peut être déployée dans les régions de Sydney et de Nouvelle Zélande afin d'augmenter les règles de configuration fournies dans les parties Foundation et NZ Transition.
Le NZISM est sous licence Creative Commons Attribution 4.0 Nouvelle Zélande, disponible sur. [https://creativecommons.org/licenses/by/4.0/](https://creativecommons.org/licenses/by/4.0/) Les informations sur les droits d'auteur sont disponibles dans le [manuel de sécurité de l'information du NZISM néo-zélandais \| Mentions légales, vie privée et droits d'auteur](https://www.nzism.gcsb.govt.nz/legal-privacy-and-copyright/).
****
| ID du contrôle | Description du contrôle | Règle AWS Config | Conseils |
| --- | --- | --- | --- |
| 2082 | Cryptographie, principes fondamentaux de la cryptographie, réduction des exigences de stockage et de transfert physique (17.1.53. C.04.) | [api-gw-cache-enabledet crypté](api-gw-cache-enabled-and-encrypted.md) | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour le cache de votre environnement API Gateway. Étant donné que des données sensibles peuvent être capturées pour la méthode API, activez le chiffrement au repos pour protéger ces données. Une dérogation est possible pour les environnements de pré-production. |
| 2082 | Cryptographie, principes fondamentaux de la cryptographie, réduction des exigences de stockage et de transfert physique (17.1.53. C.04.) | [s3-default-encryption-kms](s3-default-encryption-kms.md) | Pour protéger les données au repos, assurez-vous que le chiffrement est activé pour vos compartiments S3. Comme il peut y avoir des données sensibles au repos dans un compartiment Amazon S3, activez le chiffrement au repos pour protéger ces données. Pour plus d'informations sur le processus de chiffrement et l'administration, utilisez les CMK gérées par le client AWS Key Management Service (AWS KMS). Une exemption est disponible pour les buckets contenant des données non sensibles à condition que SSE soit activé. |
| 3562 | Sécurité des passerelles, Passerelles, Configuration des passerelles (19.1.12. C.01.) | [alb-waf-enabled](alb-waf-enabled.md) | Assurez-vous qu'AWS WAF est activé sur les Elastic Load Balancers (ELB) pour protéger les applications Web. Un WAF aide à protéger vos applications Web ou API contre les menaces Web courantes. Ces attaques Web peuvent affecter la disponibilité, compromettre la sécurité ou consommer des ressources excessives dans votre environnement. Une exemption est disponible si l'équilibreur de charge est à l'origine d'une CloudFront distribution avec WAF activé. |
| 3562 | Sécurité des passerelles, Passerelles, Configuration des passerelles (19.1.12. C.01.) | [api-gw-associated-with-guerre](api-gw-associated-with-waf.md) | Ce contrôle vérifie si un stage d'API Gateway utilise une liste de contrôle d'accès Web (ACL) AWS WAF. Ce contrôle échoue si aucune ACL Web régionale AWS WAF n'est attachée à un stage REST API Gateway. AWS WAF est un pare-feu d'application web qui aide à protéger les applications web et les API contre les attaques. Il vous permet de configurer une ACL, qui est un ensemble de règles qui autorisent, bloquent ou comptent les requêtes Web sur la base de règles et de conditions de sécurité Web personnalisables que vous définissez. Assurez-vous que votre étape API Gateway est associée à une ACL Web AWS WAF afin de la protéger contre les attaques malveillantes. Une exemption est disponible si l'API Gateway est l'origine d'une CloudFront distribution avec WAF activé. |
| 4333 | Gestion des données, filtrage du contenu, validation du contenu (20.3.7. C.02.) | [alb-waf-enabled](alb-waf-enabled.md) | Assurez-vous qu'AWS WAF est activé sur les Elastic Load Balancers (ELB) pour protéger les applications Web. Un WAF aide à protéger vos applications Web ou API contre les menaces Web courantes. Ces attaques Web peuvent affecter la disponibilité, compromettre la sécurité ou consommer des ressources excessives dans votre environnement. |
| 4333 | Gestion des données, filtrage du contenu, validation du contenu (20.3.7. C.02.) | [api-gw-associated-with-guerre](api-gw-associated-with-waf.md) | Ce contrôle vérifie si un stage d'API Gateway utilise une liste de contrôle d'accès Web (ACL) AWS WAF. Ce contrôle échoue si aucune ACL Web régionale AWS WAF n'est attachée à un stage REST API Gateway. AWS WAF est un pare-feu d'application web qui aide à protéger les applications web et les API contre les attaques. Il vous permet de configurer une ACL, qui est un ensemble de règles qui autorisent, bloquent ou comptent les requêtes Web sur la base de règles et de conditions de sécurité Web personnalisables que vous définissez. Assurez-vous que votre étape API Gateway est associée à une ACL Web AWS WAF afin de la protéger contre les attaques malveillantes. Une exemption est disponible si l'API Gateway est l'origine d'une CloudFront distribution avec WAF activé. |
| 4829 | Sécurité des systèmes d'entreprise, cloud computing, disponibilité des systèmes (22.1.23. C.01.) | [rds-cluster-multi-az-enabled](rds-cluster-multi-az-enabled.md) | Amazon Aurora stocke des copies des données dans un cluster de base de données dans plusieurs zones de disponibilité au sein d'une même région AWS. Aurora stocke ces copies indépendamment du fait que les instances dans le cluster de bases de données recouvrent ou pas plusieurs zones de disponibilité. Lorsque des données sont écrites dans l’instance de base de données principale, Aurora réplique de façon synchronisée les données entre les zones de disponibilité sur six nœuds de stockage associés au volume de votre cluster. Cela assure la redondance des données, élimine les I/O blocages et minimise les pics de latence lors des sauvegardes du système. L’exécution d’une instance de base de données avec la haute disponibilité peut améliorer la disponibilité pendant la maintenance planifiée du système et contribuer à protéger vos bases de données contre toute défaillance ou perturbation d’une zone de disponibilité. Cette règle vérifie si Multi-AZ la réplication est activée sur les clusters Amazon Aurora gérés par Amazon Relational Database Service (RDS). Une dérogation est possible pour les environnements de pré-production. |
| 4829 | Sécurité des systèmes d'entreprise, cloud computing, disponibilité des systèmes (22.1.23. C.01.) | [rds-multi-az-support](rds-multi-az-support.md) | Multi-AZ le support d'Amazon Relational Database Service (RDS) améliore la disponibilité et la durabilité des instances de base de données. Lorsque vous provisionnez une instance Multi-AZ de base de données, Amazon RDS crée automatiquement une instance de base de données principale et réplique les données de manière synchrone sur une instance de secours située dans une autre zone de disponibilité. Chaque zone de disponibilité fonctionne sur sa propre infrastructure physiquement distincte et indépendante, et est conçue pour être hautement fiable. En cas de défaillance de l'infrastructure, Amazon RDS effectue un basculement automatique vers l'instance de secours afin que vous puissiez poursuivre les opérations de base de données dès que le basculement est terminé. Une dérogation est possible pour les environnements de pré-production. |
| 4839 | Sécurité des systèmes d'entreprise, cloud computing, accès non autorisé (22.1.24). C.04.) | [sns-encrypted-kms](sns-encrypted-kms.md) | Pour protéger les données au repos, assurez-vous que vos rubriques Amazon Simple Notification Service (Amazon SNS) nécessitent un chiffrement à l'aide d'AWS Key Management Service (AWS KMS). Comme il peut y avoir des données sensibles au repos dans les messages publiés, activez le chiffrement au repos pour protéger ces données. Une exception est disponible lorsque les messages publiés dans le sujet ne contiennent pas de données sensibles. |
| 4849 | Sécurité des systèmes d'entreprise, cloud computing, sauvegarde, restauration, archivage et rémanence des données (22.1.26). C.01.) | [dynamodb-in-backup-plan](dynamodb-in-backup-plan.md) | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos tables Amazon DynamoDB font partie d'un plan AWS Backup. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Une exemption est disponible lorsqu'une solution de restauration compensatoire a été configurée. |
| 4849 | Sécurité des systèmes d'entreprise, cloud computing, sauvegarde, restauration, archivage et rémanence des données (22.1.26). C.01.) | [ebs-in-backup-plan](ebs-in-backup-plan.md) | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos volumes Amazon Elastic Block Store (Amazon EBS) font partie d'un plan AWS Backup. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Une exemption est disponible lorsqu'une solution de restauration compensatoire a été configurée. |
| 4849 | Sécurité des systèmes d'entreprise, cloud computing, sauvegarde, restauration, archivage et rémanence des données (22.1.26). C.01.) | [efs-in-backup-plan](efs-in-backup-plan.md) | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos systèmes de fichiers Amazon Elastic File System (Amazon EFS) font partie d'un plan AWS Backup. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Une exemption est disponible lorsqu'une solution de restauration compensatoire a été configurée. |
| 4849 | Sécurité des systèmes d'entreprise, cloud computing, sauvegarde, restauration, archivage et rémanence des données (22.1.26). C.01.) | [rds-in-backup-plan](rds-in-backup-plan.md) | Pour faciliter les processus de sauvegarde des données, assurez-vous que vos instances Amazon Relational Database Service (RDS) font partie d'un plan AWS Backup. AWS Backup est un service de sauvegarde entièrement géré doté d'une solution de sauvegarde basée sur des règles. Cette solution simplifie la gestion de vos sauvegardes et vous permet de répondre aux exigences de conformité de votre entreprise et aux réglementations en matière de sauvegarde. Une exemption est disponible lorsqu'une solution de restauration compensatoire a été configurée. |
| 4849 | Sécurité des systèmes d'entreprise, cloud computing, sauvegarde, restauration, archivage et rémanence des données (22.1.26). C.01.) | [s3-bucket-versioning-enabled](s3-bucket-versioning-enabled.md) | La gestion des versions d'un compartiment Amazon Simple Storage Service (Amazon S3) permet de conserver plusieurs variantes d'un objet dans le même compartiment Amazon S3. Utilisez la gestion des versions pour préserver, récupérer et restaurer chaque version de chaque objet stocké dans votre compartiment Amazon S3. La gestion des versions vous aide à récupérer facilement en cas d'action involontaire d'un utilisateur et de défaillance applicative. Une exemption est disponible lorsqu'une seule variante d'un objet est créée ou lorsqu'une solution de restauration compensatoire a été configurée. |
| 7466 | Sécurité du cloud public, protection des données dans le cloud public, accessibilité des données (23.4.10. C.01.) | [alb-waf-enabled](alb-waf-enabled.md) | Assurez-vous qu'AWS WAF est activé sur les Elastic Load Balancers (ELB) pour protéger les applications Web. Un WAF aide à protéger vos applications Web ou API contre les menaces Web courantes. Ces attaques web peuvent affecter la disponibilité, compromettre la sécurité ou consommer des ressources excessives dans votre environnement. |
| 7466 | Sécurité du cloud public, protection des données dans le cloud public, accessibilité des données (23.4.10. C.01.) | [api-gw-associated-with-guerre](api-gw-associated-with-waf.md) | Ce contrôle vérifie si un stage d'API Gateway utilise une liste de contrôle d'accès Web (ACL) AWS WAF. Ce contrôle échoue si aucune ACL Web régionale AWS WAF n'est attachée à un stage REST API Gateway. AWS WAF est un pare-feu d'application web qui aide à protéger les applications web et les API contre les attaques. Il vous permet de configurer une ACL, qui est un ensemble de règles qui autorisent, bloquent ou comptent les requêtes Web sur la base de règles et de conditions de sécurité Web personnalisables que vous définissez. Assurez-vous que votre étape API Gateway est associée à une ACL Web AWS WAF afin de la protéger contre les attaques malveillantes. Une exemption est disponible si l'API Gateway est l'origine d'une CloudFront distribution avec WAF activé. |
## Modèle
```
##################################################################################
#
# Conformance Pack:
# Operational Best Practices for NZISM Extension
#
# This conformance pack helps verify compliance with NZISM requirements.
#
##################################################################################
Resources:
AlbWafEnabled:
Condition: checkAlbWafEnabled
Controls: [ '3562', '4333', '7466' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: alb-waf-enabled
Scope:
ComplianceResourceTypes:
- AWS::ElasticLoadBalancingV2::LoadBalancer
Source:
Owner: AWS
SourceIdentifier: ALB_WAF_ENABLED
Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 20.3.7.C.02[CID:4333], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Data management/Conten..."
ApiGwAssociatedWithWaf:
Condition: checkApiGwAssociatedWithWaf
Controls: [ '3562', '4333', '7466' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: api-gw-associated-with-waf
Source:
Owner: AWS
SourceIdentifier: API_GW_ASSOCIATED_WITH_WAF
Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 20.3.7.C.02[CID:4333], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Data management/Conten..."
ApiGwCacheEnabledAndEncrypted:
Condition: checkApiGwCacheEnabledAndEncrypted
Controls: [ '2082' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: api-gw-cache-enabled-and-encrypted
Scope:
ComplianceResourceTypes:
- AWS::ApiGateway::Stage
Source:
Owner: AWS
SourceIdentifier: API_GW_CACHE_ENABLED_AND_ENCRYPTED
Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements"
DynamodbInBackupPlan:
Condition: checkDynamodbInBackupPlan
Controls: [ '4849' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: dynamodb-in-backup-plan
Source:
Owner: AWS
SourceIdentifier: DYNAMODB_IN_BACKUP_PLAN
Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
EbsInBackupPlan:
Condition: checkEbsInBackupPlan
Controls: [ '4849' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: ebs-in-backup-plan
Source:
Owner: AWS
SourceIdentifier: EBS_IN_BACKUP_PLAN
Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
EfsInBackupPlan:
Condition: checkEfsInBackupPlan
Controls: [ '4849' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: efs-in-backup-plan
Source:
Owner: AWS
SourceIdentifier: EFS_IN_BACKUP_PLAN
Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
RdsClusterMultiAzEnabled:
Condition: checkRdsClusterMultiAzEnabled
Controls: [ '4829' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: rds-cluster-multi-az-enabled
Scope:
ComplianceResourceTypes:
- AWS::RDS::DBCluster
Source:
Owner: AWS
SourceIdentifier: RDS_CLUSTER_MULTI_AZ_ENABLED
Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability"
RdsInBackupPlan:
Condition: checkRdsInBackupPlan
Controls: [ '4849' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: rds-in-backup-plan
Source:
Owner: AWS
SourceIdentifier: RDS_IN_BACKUP_PLAN
Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
RdsMultiAzSupport:
Condition: checkRdsMultiAzSupport
Controls: [ '4829' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: rds-multi-az-support
Scope:
ComplianceResourceTypes:
- AWS::RDS::DBInstance
Source:
Owner: AWS
SourceIdentifier: RDS_MULTI_AZ_SUPPORT
Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability"
S3BucketVersioningEnabled:
Condition: checkS3BucketVersioningEnabled
Controls: [ '4849' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: s3-bucket-versioning-enabled
Scope:
ComplianceResourceTypes:
- AWS::S3::Bucket
Source:
Owner: AWS
SourceIdentifier: S3_BUCKET_VERSIONING_ENABLED
Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
S3DefaultEncryptionKms:
Condition: checkS3DefaultEncryptionKms
Controls: [ '2082' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: s3-default-encryption-kms
Scope:
ComplianceResourceTypes:
- AWS::S3::Bucket
Source:
Owner: AWS
SourceIdentifier: S3_DEFAULT_ENCRYPTION_KMS
Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements"
SnsEncryptedKms:
Condition: checkSnsEncryptedKms
Controls: [ '4839' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: sns-encrypted-kms
Scope:
ComplianceResourceTypes:
- AWS::SNS::Topic
Source:
Owner: AWS
SourceIdentifier: SNS_ENCRYPTED_KMS
Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access"
```