Melhores práticas operacionais para o ACSC ISM - Parte 2

Os pacotes de conformidade fornecem uma estrutura de conformidade de uso geral projetada para permitir que você crie verificações de governança de segurança, operação ou otimização de custos usando regras e ações de remediação gerenciadas ou personalizadas. AWS Config AWS Config Os pacotes de conformidade, como os modelos de amostra, não foram projetados para garantir totalmente a conformidade com um padrão específico de governança ou conformidade. Você é responsável por avaliar se o seu uso dos serviços atende aos requisitos legais e regulamentares aplicáveis.

Veja a seguir um exemplo adicional de mapeamento entre o Manual de Segurança da Informação (ISM) 2020-06 do Australian Cyber Security Center (ACSC) e as regras gerenciadas do AWS Config. Cada regra do Config se aplica a um AWS recurso específico e está relacionada a um ou mais controles ISM. Um controle do ISM pode estar relacionado a várias regras do Config. Consulte a tabela abaixo para conferir mais detalhes e orientações relacionados a esses mapeamentos.

Esse exemplo de modelo de pacote de conformidade contém mapeamentos para controles dentro da estrutura do ISM, que foi criada pela Comunidade da Austrália e pode ser encontrado no Manual de Segurança da Informação (ISM) do governo australiano. O licenciamento do framework sob a Licença Pública Internacional de Atribuição Creative Commons 4.0 e as informações sobre os direitos autorais da estrutura (incluindo uma isenção de garantias) podem ser encontradas em ACSC | Direitos autorais.

ID de controle	AWS Regra de configuração	Orientação
1984	appmesh-virtual-gateway-backend-defaults-tls	Verifica se os padrões de back-end para gateways AWS App Mesh virtuais exigem que os gateways virtuais se comuniquem com todas as portas usando TLS. A regra é NON_COMPLIANT se configuration.spec. BackendDefaults. ClientPolicy.Tls.Enforce é falso.
1984	appmesh-virtual-node-backend-defaults-tls-on	Verifica se os padrões de back-end para nós AWS App Mesh virtuais exigem que os nós virtuais se comuniquem com todas as portas usando TLS. A regra é NON_COMPLIANT se configuration.spec. BackendDefaults. ClientPolicy.Tls.Enforce é falso.
1984	msk-in-cluster-node-require-tls	Verifica se um cluster do Amazon MSK impõe criptografia em trânsito usando HTTPS (TLS) com os nós de agente do cluster. A regra será NON_COMPLIANT se a comunicação de texto sem formatação estiver habilitada para conexões de nós do broker no cluster.
1984	rds-mysql-instance-encryptedem trânsito	Verifica se as conexões com as instâncias do banco de dados do Amazon RDS para MySQL estão configuradas para usar criptografia em trânsito. A regra será NON_COMPLIANT se o grupo de parâmetros do banco de dados associado não estiver sincronizado ou se o parâmetro require_secure_transport não estiver definido como 1.
1984	rds-postgres-instance-encryptedem trânsito	Verifica se as conexões com o Amazon RDS para instâncias de banco de dados PostgreSQL estão configuradas para usar criptografia em trânsito. A regra será NON_COMPLIANT se o grupo de parâmetros do banco de dados associado não estiver sincronizado ou se o parâmetro rds.force_ssl não estiver definido como 1.
1985	ebs-snapshot-public-restorable-verificar	Verifica se snapshots do Amazon Elastic Block Store (Amazon EBS) não são restauráveis publicamente. A regra é NON_COMPLIANT se um ou mais snapshots com RestorableByUserIds campo estiverem definidos como todos, ou seja, os snapshots do Amazon EBS forem públicos.
1985	s3- bucket-mfa-delete-enabled	Verifica se snapshots do Amazon Elastic Block Store (Amazon EBS) não são restauráveis publicamente. A regra é NON_COMPLIANT se um ou mais snapshots com RestorableByUserIds campo estiverem definidos como todos, ou seja, os snapshots do Amazon EBS forem públicos.
1985	s3- bucket-public-read-prohibited	Verifica se seus buckets do Amazon S3 permitem acesso público de leitura. A regra verifica o as configurações do Block Public Access, a política do bucket e a lista de controle de acesso (ACL) do bucket. A regra é compatível quando estas duas condições são verdadeiras: A configuração do Block Public Access restringe as políticas públicas ou a política do bucket não permite acesso público de leitura. A configuração Bloquear acesso público restringe o público ACLs ou a ACL do bucket não permite acesso público de leitura. A regra não está em conformidade quando: Se a configuração Bloquear acesso público não restringir as políticas públicas, AWS Config avalia se a política permite acesso público de leitura. Se a política permitir acesso público de leitura, a regra não estará em conformidade. Se a configuração Bloquear acesso público não restringir o bucket público ACLs, AWS Config avalia se a ACL do bucket permite acesso público de leitura. Se a ACL do bucket permitir acesso público de leitura, a regra não estará em conformidade.
1985	s3- bucket-public-write-prohibited	Verifica se seus buckets do Amazon S3 permitem acesso público de gravação. A regra verifica o as configurações do Block Public Access, a política do bucket e a lista de controle de acesso (ACL) do bucket. A regra é compatível quando estas duas condições são verdadeiras: A configuração do Block Public Access restringe as políticas públicas ou a política do bucket não permite acesso público de gravação. A configuração Bloquear acesso público restringe o público ACLs ou a ACL do bucket não permite acesso público de gravação. A regra não está em conformidade quando: Se a configuração Bloquear acesso público não restringir as políticas públicas, AWS Config avalia se a política permite acesso público de gravação. Se a política permitir acesso público de gravação, a regra não estará em conformidade. Se a configuração Bloquear acesso público não restringir o bucket público ACLs, AWS Config avalia se a ACL do bucket permite acesso público de gravação. Se a ACL do bucket permitir acesso público de gravação, a regra não estará em conformidade.
1985	aurora-resources-in-logically-air-gapped-vault	Verifica se os clusters de banco de dados do Amazon Aurora estão em um cofre logicamente isolado. A regra será NON_COMPLIANT se um cluster de banco de dados do Amazon Aurora não estiver em um cofre logicamente isolado dentro do período especificado.
1985	ebs-resources-in-logically-air-gapped-vault	Verifica se os volumes do Amazon Elastic Block Store (Amazon EBS) estão em um cofre logicamente isolado. A regra será NON_COMPLIANT se um volume do Amazon EBS não estiver em um cofre logicamente isolado dentro do período especificado.
1985	ec2- resources-in-logically-air -cofre com lacunas	Verifica se as instâncias do Amazon Elastic Block Store (Amazon EBS) estão em um cofre logicamente isolado. A regra é NON_COMPLIANT se uma instância do Amazon EBS não estiver em um cofre logicamente isolado dentro do período de tempo especificado.
1985	efs-resources-in-logically-air-gapped-vault	Verifica se os Sistemas de Arquivos Amazon Elastic File System (Amazon EFS) estão em um cofre logicamente isolado. A regra será NON_COMPLIANT se um Sistema de Arquivos do Amazon EFS não estiver em um cofre logicamente isolado dentro do período especificado.
1985	cofre com 3 lacunas resources-in-logically-air	Verifica se os buckets do Amazon Simple Storage Service (Amazon S3) estão em um cofre logicamente isolado. A regra será NON_COMPLIANT se um bucket do Amazon S3 não estiver em um cofre logicamente isolado dentro do período especificado.

Modelo

Esses modelos estão disponíveis em GitHub: Melhores práticas operacionais para o ACSC ISM - Parte 2.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Melhores práticas operacionais para o ACSC ISM - Parte 1

Práticas recomendadas operacionais para IA e ML