기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# NZISM 3.9 운영 모범 사례(확장)
적합성 팩은 관리형 또는 사용자 지정 AWS Config 규칙 및 AWS Config 문제 해결 작업을 사용하여 보안, 운영 또는 비용 최적화 거버넌스 검사를 생성할 수 있도록 설계된 범용 규정 준수 프레임워크를 제공합니다. 샘플 템플릿인 적합성 팩은 특정 거버넌스 또는 규정 준수 표준을 완벽하게 준수하도록 설계되지 않았습니다. 사용자는 서비스 이용이 관련 법률 및 규제 요구 사항을 충족하는지 여부를 스스로 평가할 책임이 있습니다.
다음은 [뉴질랜드 정부 통신 보안국(GCSB) 정보 보안 매뉴얼(NZISM) 2025-11 버전 3.9](https://www.nzism.gcsb.govt.nz/ism-document)와 AWS 관리형 Config 규칙 간의 샘플 매핑을 제공합니다. 각 Config 규칙은 특정 AWS 리소스 유형에 적용되며 하나 이상의 NZISM 제어와 관련이 있습니다. NZISM 제어는 여러 Config 규칙과 관련될 수 있습니다. 이러한 매핑과 관련된 자세한 내용 및 지침은 아래 표를 참조하세요. 제한됨 이하로 분류된 정보에 대한 권장 또는 기준 관행을 나타내는 제어만 매핑에 포함됩니다.
이 샘플 적합성 팩 템플릿에는 인력, 정보 및 물리적 보안 관리에 대한 뉴질랜드 정부의 기대치를 규정하는 보호 보안 요구 사항(PSR) 프레임워크의 필수 부분인 NZISM 프레임워크 내 제어에 대한 매핑이 포함되어 있습니다.
이 적합성 팩의 파운데이션 부분은 시드니 및 글로벌 리전에 배포할 수 있습니다. NZ 전환 부분에는 현재 뉴질랜드 리전에서 사용할 수 있는 Foundation Config 규칙의 하위 집합이 포함되어 있습니다. 파운데이션 부분은 현재 뉴질랜드 리전에 배포되지 않습니다. 이 적합성 팩의 확장 부분은 Foundation 및 NZ Transition 파트에 제공된 Config 규칙을 보강하기 위해 시드니 및 뉴질랜드 리전에 배포할 수 있습니다.
NZISM은 크리에이티브 커먼즈 저작자표시 4.0 뉴질랜드 라이선스에 따라 이용할 수 있으며, [https://creativecommons.org/licenses/by/4.0/](https://creativecommons.org/licenses/by/4.0/)에서 확인할 수 있습니다. 저작권 정보는 [NZISM New Zealand Information Security Manual \| Legal, Privacy, and Copyright](https://www.nzism.gcsb.govt.nz/legal-privacy-and-copyright/)에서 확인할 수 있습니다.
****
| 제어 ID | 제어 설명 | AWS Config 규칙 | 지침 |
| --- | --- | --- | --- |
| 2082 | 암호화, 암호화 기본 사항, 스토리지 및 물리적 전송 요구 사항 감소(17.1.53.C.04.) | [api-gw-cache-enabled-and-encrypted](api-gw-cache-enabled-and-encrypted.md) | 저장 데이터를 보호하려면 API Gateway 단계의 캐시에 암호화가 활성화되어 있어야 합니다. API 메서드에서 민감한 데이터를 캡처할 수 있으므로 저장 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. 사전 프로덕션 환경에는 예외가 적용됩니다. |
| 2082 | 암호화, 암호화 기본 사항, 스토리지 및 물리적 전송 요구 사항 감소(17.1.53.C.04.) | [s3-default-encryption-kms](s3-default-encryption-kms.md) | 저장 데이터를 보호하려면 S3 버킷에 대해 암호화가 활성화되어 있는지 확인합니다. Amazon S3 버킷에 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다. 암호화 프로세스 및 관리에 대한 자세한 내용은 AWS Key Management Service(AWS KMS) 고객 관리형 CMKs. SSE가 활성화된 경우 민감하지 않은 데이터가 포함된 버킷에 대해 예외를 사용할 수 있습니다. |
| 3562 | 게이트웨이 보안, 게이트웨이, 게이트웨이 구성(19.1.12.C.01.) | [alb-waf-enabled](alb-waf-enabled.md) | 웹 애플리케이션을 보호하기 위해 Elastic Load Balancer(ELB)에서 AWS WAF가 활성화되어 있는지 확인합니다. WAF는 일반적인 웹 익스플로잇으로부터 웹 애플리케이션 또는 API를 보호하는 데 도움이 됩니다. 이러한 웹 익스플로잇은 사용자 환경에서 가용성에 영향을 미치고 보안을 손상시키거나 리소스를 과도하게 소비할 수 있습니다. 로드 밸런서가 WAF가 활성화된 CloudFront 배포의 오리진인 경우 예외를 사용할 수 있습니다. |
| 3562 | 게이트웨이 보안, 게이트웨이, 게이트웨이 구성(19.1.12.C.01.) | [api-gw-associated-with-waf](api-gw-associated-with-waf.md) | 이 제어는 API Gateway 단계가 AWS WAF 웹 액세스 제어 목록(ACL)을 사용하는지 확인합니다. AWS WAF 리전 웹 ACL이 REST API Gateway 단계에 연결되지 않은 경우이 제어가 실패합니다. AWS WAF는 웹 애플리케이션 및 API를 공격으로부터 보호하는 데 도움이 되는 웹 애플리케이션 방화벽입니다. 이를 통해 사용자 정의 가능한 웹 보안 규칙 및 조건을 기반으로 웹 요청을 허용, 차단 또는 계산하는 규칙 집합인 ACL을 구성할 수 있습니다. API Gateway 단계가 AWS WAF 웹 ACL과 연결되어 있는지 확인하여 악의적인 공격으로부터 보호합니다. API Gateway가 WAF가 활성화된 CloudFront 배포의 오리진인 경우 예외를 사용할 수 있습니다. |
| 4333 | 데이터 관리, 콘텐츠 필터링, 콘텐츠 검증(20.3.7.C.02.) | [alb-waf-enabled](alb-waf-enabled.md) | 웹 애플리케이션을 보호하기 위해 Elastic Load Balancer(ELB)에서 AWS WAF가 활성화되어 있는지 확인합니다. WAF는 일반적인 웹 익스플로잇으로부터 웹 애플리케이션 또는 API를 보호하는 데 도움이 됩니다. 이러한 웹 익스플로잇은 사용자 환경에서 가용성에 영향을 미치고 보안을 손상시키거나 리소스를 과도하게 소비할 수 있습니다. |
| 4333 | 데이터 관리, 콘텐츠 필터링, 콘텐츠 검증(20.3.7.C.02.) | [api-gw-associated-with-waf](api-gw-associated-with-waf.md) | 이 제어는 API Gateway 단계가 AWS WAF 웹 액세스 제어 목록(ACL)을 사용하는지 확인합니다. AWS WAF 리전 웹 ACL이 REST API Gateway 단계에 연결되지 않은 경우이 제어가 실패합니다. AWS WAF는 웹 애플리케이션 및 API를 공격으로부터 보호하는 데 도움이 되는 웹 애플리케이션 방화벽입니다. 이를 통해 사용자 정의 가능한 웹 보안 규칙 및 조건을 기반으로 웹 요청을 허용, 차단 또는 계산하는 규칙 집합인 ACL을 구성할 수 있습니다. API Gateway 단계가 AWS WAF 웹 ACL과 연결되어 있는지 확인하여 악의적인 공격으로부터 보호합니다. API Gateway가 WAF가 활성화된 CloudFront 배포의 오리진인 경우 예외를 사용할 수 있습니다. |
| 4829 | 엔터프라이즈 시스템 보안, 클라우드 컴퓨팅, 시스템 가용성(22.1.23.C.01.) | [rds-cluster-multi-az-enabled](rds-cluster-multi-az-enabled.md) | Amazon Aurora는 단일 AWS 리전의 여러 가용 영역에 걸쳐 DB 클러스터에 데이터 사본을 저장합니다. Aurora는 DB 클러스터의 인스턴스가 여러 가용성 영역에 걸쳐 있는지 여부에 관계없이 이러한 복사본을 저장합니다. 기본 DB 인스턴스에 데이터가 기록되면 Aurora에서 가용 영역의 데이터를 클러스터 볼륨과 연결된 6개의 스토리지 노드에 동기적으로 복제합니다. 이 방법은 데이터 중복을 제공하고, I/O 중지를 없애고, 시스템 백업 중에 지연 시간 스파이크를 최소화합니다. DB 인스턴스를 고가용성으로 실행하면 계획된 시스템 유지 관리 중 가용성을 향상시킬 수 있으며, 데이터베이스에서 오류 및 가용 영역 중단이 일어나는 것을 방지할 수 있습니다. 이 규칙은 Amazon Relational Database Service(RDS)에서 관리하는 Amazon Aurora 클러스터에서 다중 AZ 복제가 활성화되어 있는지 확인합니다. 사전 프로덕션 환경에는 예외가 적용됩니다. |
| 4829 | 엔터프라이즈 시스템 보안, 클라우드 컴퓨팅, 시스템 가용성(22.1.23.C.01.) | [rds-multi-az-support](rds-multi-az-support.md) | Amazon Relational Database Service(RDS)의 다중 AZ 지원은 데이터베이스 인스턴스의 향상된 가용성과 내구성을 제공합니다. 다중 AZ 데이터베이스 인스턴스를 프로비저닝하면 Amazon RDS가 자동으로 기본 데이터베이스 인스턴스를 생성하고 다른 가용 영역에 있는 대기 인스턴스에 데이터를 동기식으로 복제합니다. 각 가용 영역은 물리적으로 구분된 자체 독립 인프라에서 실행되며 안정성이 높도록 설계되었습니다. 인프라 장애가 발생할 경우, Amazon RDS는 대기 인프라로 자동 장애 조치를 수행하므로 장애 조치가 완료되는 즉시 데이터베이스 작업을 재개할 수 있습니다. 사전 프로덕션 환경에는 예외가 적용됩니다. |
| 4839 | 엔터프라이즈 시스템 보안, 클라우드 컴퓨팅, 무단 액세스(22.1.24.C.04.) | [sns-encrypted-kms](sns-encrypted-kms.md) | 저장 데이터를 보호하려면 Amazon Simple Notification Service(Amazon SNS) 주제에 AWS Key Management Service(AWS KMS)를 사용한 암호화가 필요한지 확인합니다. 게시된 메시지에 민감한 데이터가 저장될 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다. 주제에 게시된 메시지에 민감한 데이터가 포함되지 않은 경우 예외를 사용할 수 있습니다. |
| 4849 | 엔터프라이즈 시스템 보안, 클라우드 컴퓨팅, 백업, 복구 아카이빙 및 데이터 보존(22.1.26.C.01.) | [dynamodb-in-backup-plan](dynamodb-in-backup-plan.md) | 데이터 백업 프로세스에 도움이 되도록 Amazon DynamoDB 테이블이 AWS Backup 계획의 일부인지 확인합니다. AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다. 보정 복구 솔루션이 구성된 경우 예외를 사용할 수 있습니다. |
| 4849 | 엔터프라이즈 시스템 보안, 클라우드 컴퓨팅, 백업, 복구 아카이빙 및 데이터 보존(22.1.26.C.01.) | [ebs-in-backup-plan](ebs-in-backup-plan.md) | 데이터 백업 프로세스에 도움이 되도록 Amazon Elastic Block Store(Amazon EBS) 볼륨이 AWS Backup 계획의 일부인지 확인합니다. AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다. 보정 복구 솔루션이 구성된 경우 예외를 사용할 수 있습니다. |
| 4849 | 엔터프라이즈 시스템 보안, 클라우드 컴퓨팅, 백업, 복구 아카이빙 및 데이터 보존(22.1.26.C.01.) | [efs-in-backup-plan](efs-in-backup-plan.md) | 데이터 백업 프로세스에 도움이 되도록 Amazon Elastic File System(Amazon EFS) 파일 시스템이 AWS Backup 계획의 일부인지 확인합니다. AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다. 보정 복구 솔루션이 구성된 경우 예외를 사용할 수 있습니다. |
| 4849 | 엔터프라이즈 시스템 보안, 클라우드 컴퓨팅, 백업, 복구 아카이빙 및 데이터 보존(22.1.26.C.01.) | [rds-in-backup-plan](rds-in-backup-plan.md) | 데이터 백업 프로세스에 도움이 되도록 Amazon Relational Database Service(RDS) 인스턴스가 AWS Backup 계획의 일부인지 확인합니다. AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다. 보정 복구 솔루션이 구성된 경우 예외를 사용할 수 있습니다. |
| 4849 | 엔터프라이즈 시스템 보안, 클라우드 컴퓨팅, 백업, 복구 아카이빙 및 데이터 보존(22.1.26.C.01.) | [s3-bucket-versioning-enabled](s3-bucket-versioning-enabled.md) | Amazon Simple Storage Service(S3) 버킷 버전 관리를 사용하면 동일한 Amazon S3 버킷 내에 객체의 여러 변형을 보유할 수 있습니다. 버전 관리를 사용하여 Amazon S3 버킷에 저장된 모든 버전의 모든 객체를 보존, 검색 및 복원합니다. 버전 관리는 의도치 않은 사용자 작업 및 애플리케이션 장애로부터 복구하는 데 도움이 됩니다. 객체의 단일 변형만 생성되거나 보상 복구 솔루션이 구성된 경우 예외를 사용할 수 있습니다. |
| 7466 | 퍼블릭 클라우드 보안, 퍼블릭 클라우드의 데이터 보호, 데이터 접근성(23.4.10.C.01.) | [alb-waf-enabled](alb-waf-enabled.md) | 웹 애플리케이션을 보호하기 위해 Elastic Load Balancer(ELB)에서 AWS WAF가 활성화되어 있는지 확인합니다. WAF는 일반적인 웹 익스플로잇으로부터 웹 애플리케이션 또는 API를 보호하는 데 도움이 됩니다. 이러한 웹 익스플로잇은 사용자 환경에서 가용성에 영향을 미치거나 보안을 손상시킬 수 있으며 혹은 리소스를 과도하게 사용할 수 있습니다. |
| 7466 | 퍼블릭 클라우드 보안, 퍼블릭 클라우드의 데이터 보호, 데이터 접근성(23.4.10.C.01.) | [api-gw-associated-with-waf](api-gw-associated-with-waf.md) | 이 제어는 API Gateway 단계가 AWS WAF 웹 액세스 제어 목록(ACL)을 사용하는지 확인합니다. AWS WAF 리전 웹 ACL이 REST API Gateway 단계에 연결되지 않은 경우이 제어가 실패합니다. AWS WAF는 웹 애플리케이션 및 API를 공격으로부터 보호하는 데 도움이 되는 웹 애플리케이션 방화벽입니다. 이를 통해 사용자 정의 가능한 웹 보안 규칙 및 조건을 기반으로 웹 요청을 허용, 차단 또는 계산하는 규칙 집합인 ACL을 구성할 수 있습니다. API Gateway 단계가 AWS WAF 웹 ACL과 연결되어 있는지 확인하여 악의적인 공격으로부터 보호합니다. API Gateway가 WAF가 활성화된 CloudFront 배포의 오리진인 경우 예외를 사용할 수 있습니다. |
## 템플릿
```
##################################################################################
#
# Conformance Pack:
# Operational Best Practices for NZISM Extension
#
# This conformance pack helps verify compliance with NZISM requirements.
#
##################################################################################
Resources:
AlbWafEnabled:
Condition: checkAlbWafEnabled
Controls: [ '3562', '4333', '7466' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: alb-waf-enabled
Scope:
ComplianceResourceTypes:
- AWS::ElasticLoadBalancingV2::LoadBalancer
Source:
Owner: AWS
SourceIdentifier: ALB_WAF_ENABLED
Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 20.3.7.C.02[CID:4333], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Data management/Conten..."
ApiGwAssociatedWithWaf:
Condition: checkApiGwAssociatedWithWaf
Controls: [ '3562', '4333', '7466' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: api-gw-associated-with-waf
Source:
Owner: AWS
SourceIdentifier: API_GW_ASSOCIATED_WITH_WAF
Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 20.3.7.C.02[CID:4333], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Data management/Conten..."
ApiGwCacheEnabledAndEncrypted:
Condition: checkApiGwCacheEnabledAndEncrypted
Controls: [ '2082' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: api-gw-cache-enabled-and-encrypted
Scope:
ComplianceResourceTypes:
- AWS::ApiGateway::Stage
Source:
Owner: AWS
SourceIdentifier: API_GW_CACHE_ENABLED_AND_ENCRYPTED
Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements"
DynamodbInBackupPlan:
Condition: checkDynamodbInBackupPlan
Controls: [ '4849' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: dynamodb-in-backup-plan
Source:
Owner: AWS
SourceIdentifier: DYNAMODB_IN_BACKUP_PLAN
Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
EbsInBackupPlan:
Condition: checkEbsInBackupPlan
Controls: [ '4849' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: ebs-in-backup-plan
Source:
Owner: AWS
SourceIdentifier: EBS_IN_BACKUP_PLAN
Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
EfsInBackupPlan:
Condition: checkEfsInBackupPlan
Controls: [ '4849' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: efs-in-backup-plan
Source:
Owner: AWS
SourceIdentifier: EFS_IN_BACKUP_PLAN
Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
RdsClusterMultiAzEnabled:
Condition: checkRdsClusterMultiAzEnabled
Controls: [ '4829' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: rds-cluster-multi-az-enabled
Scope:
ComplianceResourceTypes:
- AWS::RDS::DBCluster
Source:
Owner: AWS
SourceIdentifier: RDS_CLUSTER_MULTI_AZ_ENABLED
Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability"
RdsInBackupPlan:
Condition: checkRdsInBackupPlan
Controls: [ '4849' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: rds-in-backup-plan
Source:
Owner: AWS
SourceIdentifier: RDS_IN_BACKUP_PLAN
Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
RdsMultiAzSupport:
Condition: checkRdsMultiAzSupport
Controls: [ '4829' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: rds-multi-az-support
Scope:
ComplianceResourceTypes:
- AWS::RDS::DBInstance
Source:
Owner: AWS
SourceIdentifier: RDS_MULTI_AZ_SUPPORT
Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability"
S3BucketVersioningEnabled:
Condition: checkS3BucketVersioningEnabled
Controls: [ '4849' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: s3-bucket-versioning-enabled
Scope:
ComplianceResourceTypes:
- AWS::S3::Bucket
Source:
Owner: AWS
SourceIdentifier: S3_BUCKET_VERSIONING_ENABLED
Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
S3DefaultEncryptionKms:
Condition: checkS3DefaultEncryptionKms
Controls: [ '2082' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: s3-default-encryption-kms
Scope:
ComplianceResourceTypes:
- AWS::S3::Bucket
Source:
Owner: AWS
SourceIdentifier: S3_DEFAULT_ENCRYPTION_KMS
Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements"
SnsEncryptedKms:
Condition: checkSnsEncryptedKms
Controls: [ '4839' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: sns-encrypted-kms
Scope:
ComplianceResourceTypes:
- AWS::SNS::Topic
Source:
Owner: AWS
SourceIdentifier: SNS_ENCRYPTED_KMS
Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access"
```