Migliori pratiche operative per ACSC ISM - Parte 2

I Conformance Pack forniscono un framework di conformità generico progettato per consentire di creare controlli di governance relativi alla sicurezza, all'operatività o all'ottimizzazione dei costi utilizzando regole gestite o personalizzate e azioni correttive. AWS Config AWS Config I pacchetti di conformità, in quanto modelli di esempio, non sono pensati per garantire la piena conformità a uno specifico standard di governance o conformità. È tua responsabilità valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.

Di seguito viene fornita un'ulteriore mappatura di esempio tra l'Australian Cyber Security Centre (ACSC) Information Security Manual (ISM) 2020-06 e le regole di Config gestite. AWS Ogni regola Config si applica a una AWS risorsa specifica e si riferisce a uno o più controlli ISM. Un controllo ISM può essere correlato a più regole Config. Consulta la tabella seguente per maggiori dettagli e indicazioni relativi a queste mappature.

Questo modello di pacchetto di conformità di esempio contiene le mappature dei controlli all'interno del framework ISM, creato dal Commonwealth australiano e disponibile nell'Australian Government Information Security Manual. La licenza del framework ai sensi del Creative Commons Attribution 4.0 International Public License e le informazioni sul diritto d'autore del framework (inclusa una clausola di esclusione delle responsabilità) sono disponibili all'indirizzo ACSC | Copyright.

ID controllo	AWS Regola di Config	Linea guida
1984	appmesh-virtual-gateway-backend-defaults-tls	Verifica se le impostazioni predefinite del backend per i gateway virtuali richiedono che i gateway AWS App Mesh virtuali comunichino con tutte le porte tramite TLS. La regola è NON_COMPLIANT se Configuration.spec. BackendDefaults. ClientPolicy.Tls.Enforce è falso.
1984	appmesh-virtual-node-backend-defaults-tls-on	Verifica se le impostazioni predefinite del backend per i nodi virtuali richiedono che i nodi AWS App Mesh virtuali comunichino con tutte le porte tramite TLS. La regola è NON_COMPLIANT se Configuration.spec. BackendDefaults. ClientPolicy.Tls.Enforce è falso.
1984	msk-in-cluster-node-richiedere-tls	Verifica se un cluster Amazon MSK impone la crittografia in transito utilizzando HTTPS (TLS) con i nodi broker del cluster. La regola è NON_COMPLIANT se la comunicazione in testo semplice è abilitata per le connessioni dei nodi broker all'interno del cluster.
1984	rds-mysql-instance-encryptedin transito	Verifica se le connessioni alle istanze di database Amazon RDS for MySQL sono configurate per utilizzare la crittografia in transito. La regola è NON_COMPLIANT se il gruppo di parametri del database associato non è sincronizzato o se il parametro require_secure_transport non è impostato su 1.
1984	rds-postgres-instance-encryptedin transito	Verifica se le connessioni alle istanze di database Amazon RDS for PostgreSQL sono configurate per utilizzare la crittografia in transito. La regola è NON_COMPLIANT se il gruppo di parametri del database associato non è sincronizzato o se il parametro rds.force_ssl non è impostato su 1.
1985	ebs-snapshot-public-restorable-dai un'occhiata	Verifica se gli snapshot Amazon Elastic Block Store (Amazon EBS) non sono ripristinabili pubblicamente. La regola è NON_COMPLIANT se uno o più snapshot con RestorableByUserIds campo sono impostati su tutti, ovvero gli snapshot di Amazon EBS sono pubblici.
1985	s3- bucket-mfa-delete-enabled	Verifica se gli snapshot Amazon Elastic Block Store (Amazon EBS) non sono ripristinabili pubblicamente. La regola è NON_COMPLIANT se uno o più snapshot con RestorableByUserIds campo sono impostati su tutti, ovvero gli snapshot di Amazon EBS sono pubblici.
1985	s3- bucket-public-read-prohibited	Verifica se i bucket Amazon S3 non permettono l'accesso pubblico in lettura. La regola verifica le impostazioni di blocco dell'accesso pubblico, la policy del bucket e la lista di controllo accessi (ACL) del bucket. La regola è conforme quando sono vere entrambe le condizioni seguenti: L'impostazione di blocco dell'accesso pubblico limita le policy pubbliche o la policy del bucket non consente l'accesso pubblico in lettura. L'impostazione Block Public Access limita il pubblico ACLs oppure l'ACL del bucket non consente l'accesso pubblico in lettura. La regola non è conforme quando: Se l'impostazione Blocca accesso pubblico non limita le politiche pubbliche, AWS Config valuta se la politica consente l'accesso pubblico in lettura. Se la politica consente l'accesso pubblico in lettura, la regola non è conforme. Se l'impostazione Block Public Access non limita il bucket pubblico ACLs, AWS Config valuta se l'ACL del bucket consente l'accesso pubblico in lettura. Se l'ACL del bucket consente l'accesso pubblico in lettura, la regola non è conforme.
1985	s3- bucket-public-write-prohibited	Verifica se i bucket Amazon S3 non permettono l'accesso pubblico in scrittura. La regola verifica le impostazioni di blocco dell'accesso pubblico, la policy del bucket e la lista di controllo accessi (ACL) del bucket. La regola è conforme quando sono vere entrambe le condizioni seguenti: L'impostazione di blocco dell'accesso pubblico limita le policy pubbliche o la policy del bucket non consente l'accesso pubblico in scrittura. L'impostazione Block Public Access limita il pubblico ACLs oppure l'ACL del bucket non consente l'accesso pubblico in scrittura. La regola non è conforme quando: Se l'impostazione Blocca accesso pubblico non limita le politiche pubbliche, AWS Config valuta se la politica consente l'accesso pubblico in scrittura. Se la policy consente l'accesso pubblico in scrittura, la regola non è conforme. Se l'impostazione Block Public Access non limita il bucket pubblico ACLs, AWS Config valuta se l'ACL del bucket consente l'accesso pubblico in scrittura. Se l'ACL del bucket consente l'accesso pubblico in scrittura, la regola non è conforme.
1985	aurora-resources-in-logically-air-gapped-vault	Verifica se i cluster Amazon Aurora DB si trovano in un vault con intercapedine logiche. La regola è NON_COMPLIANT se un cluster Amazon Aurora DB non si trova in un vault logicamente isolato entro il periodo di tempo specificato.
1985	ebs-resources-in-logically-air-gapped-vault	Verifica se i volumi di Amazon Elastic Block Store (Amazon EBS) si trovano in un vault con intercapedine logiche. La regola è NON_COMPLIANT se un volume Amazon EBS non si trova in un vault logicamente isolato entro il periodo di tempo specificato.
1985	ec2- resources-in-logically-air -caveau con spazi vuoti	Verifica se le istanze di Amazon Elastic Block Store (Amazon EBS) si trovano in un vault con intercapedine logiche. La regola è NON_COMPLIANT se un'istanza Amazon EBS non si trova in un vault logicamente collegato all'air gap entro il periodo di tempo specificato.
1985	efs-resources-in-logically-air-gapped-vault	Verifica se i file system Amazon Elastic File System (Amazon EFS) si trovano in un vault logicamente isolato. La regola è NON_COMPLIANT se un file system Amazon EFS non si trova in un vault logicamente collegato all'air gap entro il periodo di tempo specificato.
1985	s3- resources-in-logically-air -caveau con spazi vuoti	Verifica se i bucket Amazon Simple Storage Service (Amazon S3) Simple Storage Service (Amazon S3) si trovano in un vault con intercapedine logiche. La regola è NON_COMPLIANT se un bucket Amazon S3 non si trova in un vault logicamente isolato entro il periodo di tempo specificato.

Modello

Questi modelli sono disponibili su GitHub: Operational Best Practices for ACSC ISM - Part 2.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Migliori pratiche operative per ACSC ISM - Parte 1

Best practice operative per IA e ML