Práticas recomendadas para o ACSC ISM - Part 2

Os pacotes de conformidade fornecem um framework de conformidade de uso geral desenvolvido para permitir que você crie verificações de governança operacional, de segurança ou de otimização de custos usando regras gerenciadas ou personalizadas do AWS Config e ações de correção do AWS Config. Os pacotes de conformidade, como os modelos de amostra, não foram projetados para garantir totalmente a conformidade com um padrão específico de governança ou conformidade. Você é responsável por avaliar se o seu uso dos serviços atende aos requisitos legais e regulamentares aplicáveis.

A seguir, temos outro exemplo de mapeamento entre o Manual de Segurança da Informação (ISM) 2020-06 do Centro de Segurança Cibernética Australiano (ACSC) e as regras gerenciadas do AWS Config. Cada regra do Config se aplica a um recurso da AWS específico e está relacionada a um ou mais controles do ISM. Um controle do ISM pode estar relacionado a várias regras do Config. Consulte a tabela abaixo para conferir mais detalhes e orientações relacionados a esses mapeamentos.

Esse exemplo de modelo de pacote de conformidade contém mapeamentos para controles dentro da estrutura do ISM, que foi criada pela Comunidade da Austrália e pode ser encontrado no Manual de Segurança da Informação (ISM) do governo australiano. O licenciamento do framework sob a Licença Pública Internacional de Atribuição Creative Commons 4.0 e as informações sobre os direitos autorais da estrutura (incluindo uma isenção de garantias) podem ser encontradas em ACSC | Direitos autorais.

ID de controle	Regra do AWS Config	Orientação
1984	appmesh-virtual-gateway-backend-defaults-tls	Verifica se os padrões de backend dos gateways virtuais do AWS App Mesh exigem que os gateways virtuais se comuniquem com todas as portas usando TLS. A regra será NON_COMPLIANT se configuration.Spec.BackendDefaults.ClientPolicy.Tls.Enforce for false.
1984	appmesh-virtual-node-backend-defaults-tls-on	Verifica se os padrões de backend dos nós virtuais do AWS App Mesh exigem que os nós virtuais se comuniquem com todas as portas usando TLS. A regra será NON_COMPLIANT se configuration.Spec.BackendDefaults.ClientPolicy.Tls.Enforce for false.
1984	msk-in-cluster-node-require-tls	Verifica se um cluster do Amazon MSK impõe criptografia em trânsito usando HTTPS (TLS) com os nós de agente do cluster. A regra será NON_COMPLIANT se a comunicação de texto sem formatação estiver habilitada para conexões de nós do broker no cluster.
1984	rds-mysql-instance-encrypted-in-transit	Verifica se as conexões com as instâncias do banco de dados do Amazon RDS para MySQL estão configuradas para usar criptografia em trânsito. A regra será NON_COMPLIANT se o grupo de parâmetros do banco de dados associado não estiver sincronizado ou se o parâmetro require_secure_transport não estiver definido como 1.
1984	rds-postgres-instance-encrypted-in-transit	Verifica se as conexões com as instâncias do banco de dados do Amazon RDS para PostgreSQL estão configuradas para usar criptografia em trânsito. A regra será NON_COMPLIANT se o grupo de parâmetros do banco de dados associado não estiver sincronizado ou se o parâmetro rds.force_ssl não estiver definido como 1.
1985	ebs-snapshot-public-restorable-check	Verifica se snapshots do Amazon Elastic Block Store (Amazon EBS) não são restauráveis publicamente. A regra será NON_COMPLIANT se um ou mais snapshots com o campo RestorableByUserIds estiverem definidos como todos, ou seja, os snapshots do Amazon EBS forem públicos.
1985	s3-bucket-mfa-delete-enabled	Verifica se snapshots do Amazon Elastic Block Store (Amazon EBS) não são restauráveis publicamente. A regra será NON_COMPLIANT se um ou mais snapshots com o campo RestorableByUserIds estiverem definidos como todos, ou seja, os snapshots do Amazon EBS forem públicos.
1985	s3-bucket-public-read-prohibited	Verifica se seus buckets do Amazon S3 permitem acesso público de leitura. A regra verifica o as configurações do Bloqueio de Acesso Público, a política do bucket e a lista de controle de acesso (ACL) do bucket. A regra é compatível quando estas duas condições são verdadeiras: A configuração do Bloqueio de Acesso Público restringe as políticas públicas ou a política do bucket não permite acesso público de leitura. A configuração do Bloqueio de Acesso Público restringe ACLs públicas ou a ACL do bucket não permite acesso público de leitura. A regra é incompatível quando: Se a configuração do Bloqueio de Acesso Público não restringir as políticas públicas, o AWS Config avalia se a política permite acesso público de leitura. Se a política permitir acesso público de leitura, a regra não estará em conformidade. Se a configuração do Bloqueio de Acesso Público não restringir as ACLs do bucket público, o AWS Config avaliará se a ACL do bucket permitirá acesso público de leitura. Se a ACL do bucket permitir acesso público de leitura, a regra não estará em conformidade.
1985	s3-bucket-public-write-prohibited	Verifica se seus buckets do Amazon S3 permitem acesso público de gravação. A regra verifica o as configurações do Bloqueio de Acesso Público, a política do bucket e a lista de controle de acesso (ACL) do bucket. A regra é compatível quando estas duas condições são verdadeiras: A configuração do Block Public Access restringe as políticas públicas ou a política do bucket não permite acesso público de gravação. A configuração do Block Public Access restringe ACLs públicas ou a ACL do bucket não permite acesso público de gravação. A regra é incompatível quando: Se a configuração do Bloqueio de acesso público não restringir as políticas públicas, o AWS Config avaliará se a política permite acesso público de gravação. Se a política permitir acesso público de gravação, a regra não estará em conformidade. Se a configuração do Bloqueio de acesso público não restringir as ACLs do bucket público, o AWS Config avaliará se uma ACL do bucket permitirá acesso público de gravação. Se a ACL do bucket permitir acesso público de gravação, a regra não estará em conformidade.
1985	aurora-resources-in-logically-air-gapped-vault	Verifica se os clusters de banco de dados do Amazon Aurora estão em um cofre logicamente isolado. A regra será NON_COMPLIANT se um cluster de banco de dados do Amazon Aurora não estiver em um cofre logicamente isolado dentro do período especificado.
1985	ebs-resources-in-logically-air-gapped-vault	Verifica se os volumes do Amazon Elastic Block Store (Amazon EBS) estão em um cofre logicamente isolado. A regra será NON_COMPLIANT se um volume do Amazon EBS não estiver em um cofre logicamente isolado dentro do período especificado.
1985	ec2-resources-in-logically-air-gapped-vault	Verifica se as instâncias do Amazon Elastic Block Store (Amazon EBS) estão em um cofre logicamente isolado. A regra será NON_COMPLIANT se uma instância do Amazon EBS não estiver em um cofre logicamente isolado dentro do período especificado.
1985	efs-resources-in-logically-air-gapped-vault	Verifica se os Sistemas de Arquivos Amazon Elastic File System (Amazon EFS) estão em um cofre logicamente isolado. A regra será NON_COMPLIANT se um Sistema de Arquivos do Amazon EFS não estiver em um cofre logicamente isolado dentro do período especificado.
1985	s3-resources-in-logically-air-gapped-vault	Verifica se os buckets do Amazon Simple Storage Service (Amazon S3) estão em um cofre logicamente isolado. A regra será NON_COMPLIANT se um bucket do Amazon S3 não estiver em um cofre logicamente isolado dentro do período especificado.

Modelo

Esse modelo está disponível no GitHub: Operational Best Practices for ACSC ISM - Part 2.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Práticas recomendas para o ACSC ISM - Part 1

Práticas recomendadas operacionais para IA e ML