Praktik Terbaik Operasional untuk ACSC ISM - Bagian 2

Paket kesesuaian menyediakan kerangka kerja kepatuhan tujuan umum yang dirancang untuk memungkinkan Anda membuat pemeriksaan tata kelola keamanan, operasional, atau pengoptimalan biaya menggunakan aturan dan tindakan remediasi terkelola atau khusus. AWS Config AWS Config Paket Kesesuaian, sebagai contoh templat, tidak dirancang untuk sepenuhnya memastikan kepatuhan terhadap tata kelola atau standar kepatuhan tertentu. Anda bertanggung jawab untuk membuat penilaian sendiri tentang apakah penggunaan Layanan oleh Anda memenuhi persyaratan hukum dan peraturan yang berlaku.

Berikut ini memberikan pemetaan sampel tambahan antara Australian Cyber Security Centre (ACSC) Information Security Manual (ISM) 2020-06 dan aturan AWS Config terkelola. Setiap aturan Config berlaku untuk AWS sumber daya tertentu, dan berhubungan dengan satu atau beberapa kontrol ISM. Kontrol ISM dapat dikaitkan dengan beberapa aturan Config. Lihat tabel di bawah ini untuk detail lebih lanjut dan panduan terkait pemetaan ini.

Templat paket kesesuaian sampel ini berisi pemetaan ke kontrol dalam kerangka kerja ISM, yang dibuat oleh Persemakmuran Australia dan dapat ditemukan di Manual Keamanan Informasi Pemerintah Australia. Lisensi kerangka kerja di bawah Lisensi Publik Internasional Creative Commons Attribution 4.0 dan informasi hak cipta untuk kerangka kerja (termasuk penafian jaminan) dapat ditemukan di ACSC | Hak Cipta.

ID Kontrol	AWS Aturan Config	Bimbingan
1984	appmesh-virtual-gateway-backend-default-tls	Memeriksa apakah default backend untuk gateway virtual memerlukan gateway AWS App Mesh virtual untuk berkomunikasi dengan semua port menggunakan TLS. Aturannya adalah NON_COMPLIANT jika Configuration.spec. BackendDefaults. ClientPolicy.Tls.Enforce salah.
1984	appmesh-virtual-node-backend-defaults-tls-on	Memeriksa apakah default backend untuk node virtual memerlukan node AWS App Mesh virtual untuk berkomunikasi dengan semua port menggunakan TLS. Aturannya adalah NON_COMPLIANT jika Configuration.spec. BackendDefaults. ClientPolicy.Tls.Enforce salah.
1984	msk-in-cluster-node-membutuhkan-tls	Memeriksa apakah klaster MSK Amazon memberlakukan enkripsi dalam perjalanan menggunakan HTTPS (TLS) dengan node broker cluster. Aturannya adalah NON_COMPLIANT jika komunikasi teks biasa diaktifkan untuk koneksi node broker in-cluster.
1984	rds-mysql-instance-encrypted-dalam transit	Memeriksa apakah koneksi ke Amazon RDS untuk instance database MySQL dikonfigurasi untuk menggunakan enkripsi dalam perjalanan. Aturannya adalah NON_COMPLIANT jika grup parameter database terkait tidak sinkron atau jika parameter require_secure_transport tidak disetel ke 1.
1984	rds-postgres-instance-encrypted-dalam transit	Memeriksa apakah koneksi ke Amazon RDS untuk instance database Amazon RDS for PostgreSQL dikonfigurasi untuk menggunakan enkripsi saat transit. Aturannya adalah NON_COMPLIANT jika grup parameter database terkait tidak sinkron atau jika parameter rds.force_ssl tidak disetel ke 1.
1985	ebs-snapshot-public-restorable-periksa	Memeriksa apakah snapshot Amazon Elastic Block Store (Amazon EBS) tidak dapat dipulihkan secara publik. Aturannya adalah NON_COMPLIANT jika satu atau beberapa snapshot dengan RestorableByUserIds bidang disetel ke semua, yaitu snapshot Amazon EBS bersifat publik.
1985	s3- bucket-mfa-delete-enabled	Memeriksa apakah snapshot Amazon Elastic Block Store (Amazon EBS) tidak dapat dipulihkan secara publik. Aturannya adalah NON_COMPLIANT jika satu atau beberapa snapshot dengan RestorableByUserIds bidang disetel ke semua, yaitu snapshot Amazon EBS bersifat publik.
1985	s3- bucket-public-read-prohibited	Memeriksa apakah bucket Amazon S3 Anda tidak mengizinkan akses baca publik. Aturan memeriksa pengaturan Blokir Akses Publik, kebijakan bucket, dan daftar kontrol akses bucket (ACL). Aturan ini sesuai jika kedua hal berikut ini benar: Pengaturan Blokir Akses Publik membatasi kebijakan publik atau kebijakan bucket tidak mengizinkan akses baca publik. Pengaturan Blokir Akses Publik membatasi publik ACLs atau bucket ACL tidak mengizinkan akses baca publik. Aturannya tidak patuh ketika: Jika setelan Blokir Akses Publik tidak membatasi kebijakan publik, AWS Config evaluasi apakah kebijakan tersebut mengizinkan akses baca publik. Jika kebijakan mengizinkan akses baca publik, aturannya tidak sesuai. Jika setelan Blokir Akses Publik tidak membatasi bucket publik ACLs, AWS Config evaluasi apakah bucket ACL mengizinkan akses baca publik. Jika bucket ACL mengizinkan akses baca publik, aturannya tidak sesuai.
1985	s3- bucket-public-write-prohibited	Memeriksa apakah bucket Amazon S3 Anda tidak mengizinkan akses tulis publik. Aturan memeriksa pengaturan Blokir Akses Publik, kebijakan bucket, dan daftar kontrol akses bucket (ACL). Aturan ini sesuai jika kedua hal berikut ini benar: Setelan Blokir Akses Publik membatasi kebijakan publik atau kebijakan bucket tidak mengizinkan akses tulis publik. Pengaturan Blokir Akses Publik membatasi publik ACLs atau bucket ACL tidak mengizinkan akses tulis publik. Aturannya tidak patuh ketika: Jika setelan Blokir Akses Publik tidak membatasi kebijakan publik, AWS Config evaluasi apakah kebijakan tersebut mengizinkan akses tulis publik. Jika kebijakan mengizinkan akses tulis publik, aturannya tidak sesuai. Jika setelan Blokir Akses Publik tidak membatasi bucket publik ACLs, AWS Config evaluasi apakah bucket ACL mengizinkan akses tulis publik. Jika bucket ACL mengizinkan akses tulis publik, aturannya tidak sesuai.
1985	aurora-resources-in-logically-air-gapped-vault	Memeriksa apakah cluster Amazon Aurora DB berada dalam lemari besi yang memiliki lubang udara secara logis. Aturannya adalah NON_COMPLIANT jika klaster DB Amazon Aurora tidak berada dalam brankas celah udara secara logis dalam periode waktu yang ditentukan.
1985	ebs-resources-in-logically-air-gapped-vault	Memeriksa apakah volume Amazon Elastic Block Store (Amazon EBS) berada dalam lemari besi yang memiliki lubang udara secara logis. Aturannya adalah NON_COMPLIANT jika volume Amazon EBS tidak berada dalam brankas dengan celah udara secara logis dalam periode waktu yang ditentukan.
1985	ec2- resources-in-logically-air -gapped-lemari besi	Memeriksa apakah instans Amazon Elastic Block Store (Amazon EBS) berada dalam brankas yang memiliki lubang udara secara logis. Aturannya adalah NON_COMPLIANT jika instans Amazon EBS tidak berada dalam brankas dengan celah udara secara logis dalam periode waktu yang ditentukan.
1985	efs-resources-in-logically-air-gapped-vault	Memeriksa apakah Sistem File Amazon Elastic File System (Amazon EFS) berada dalam brankas yang berlubang udara secara logis. Aturannya adalah NON_COMPLIANT jika Sistem File Amazon EFS tidak berada dalam brankas dengan celah udara secara logis dalam periode waktu yang ditentukan.
1985	s3- resources-in-logically-air -gapped-lemari besi	Memeriksa apakah bucket Amazon Simple Storage Service (Amazon S3) berada dalam brankas yang memiliki lubang udara secara logis. Aturannya adalah NON_COMPLIANT jika bucket Amazon S3 tidak berada dalam brankas dengan celah udara secara logis dalam periode waktu yang ditentukan.

Templat

Template ini tersedia di GitHub: Praktik Terbaik Operasional untuk ACSC ISM - Bagian 2.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Praktik Terbaik Operasional untuk ACSC ISM - Bagian 1

Praktik Terbaik Operasional untuk AI dan ML