As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Práticas recomendadas operacionais para o ACSC Essential 8
Os pacotes de conformidade fornecem um framework de conformidade de uso geral desenvolvido para permitir que você crie verificações de governança operacional, de segurança ou de otimização de custos usando regras gerenciadas ou personalizadas do AWS Config e ações de correção do AWS Config. Os pacotes de conformidade, como os modelos de amostra, não foram projetados para garantir totalmente a conformidade com um padrão específico de governança ou conformidade. Você é responsável por avaliar se o seu uso dos serviços atende aos requisitos legais e regulamentares aplicáveis.
A seguir, é apresentado um exemplo de mapeamento entre o Modelo de Maturidade Essential Eight do Australian Cyber Security Centre (ACSC) e as regras gerenciadas do AWS Config. Cada regra do Config se aplica a um recurso da AWS específico e está relacionada a um ou mais controles do Essential Eight do ACSC. Um controle do Essential Eight do ACSC pode estar relacionado a várias regras do Config. Consulte a tabela abaixo para conferir mais detalhes e orientações relacionados a esses mapeamentos. Alguns dos mapeamentos para regras de configuração são para a seção de ordem superior (por exemplo. Estratégias de mitigação para limitar a extensão dos incidentes de segurança cibernética), em oposição às seções mais prescritivas.
Este exemplo de modelo de pacote de conformidade contém mapeamentos para controles dentro do ACSC Essential 8, que foi criado pela Commonwealth of Australia e pode ser encontrado no ACSC | Essential Eight.
| ID de controle | Regra do AWS Config | Orientação |
|---|---|---|
| Application_control | Habilite o AWS WAF nos Elastic Load Balancers (ELBs) para ajudar a proteger aplicações web. Um WAF ajuda a proteger aplicações web ou APIs contra explorações comuns da web. Essas explorações da web podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos em seu ambiente. | |
| Application_control | O AWS WAF possibilita que você configure um conjunto de regras [chamado de lista de controle de acesso à web (ACL da web)] que permitem, bloqueiam ou contam solicitações da web com base em regras e condições de segurança da web personalizáveis que você define. Associe seu estágio do Amazon API Gateway a uma ACL da web do WAF para protegê-lo contra ataques mal-intencionados. | |
| Application_control | cloudwatch-log-group-encrypted |
Verifica se os grupos de logs do Amazon CloudWatch estão criptografados com chave do AWS KMS ou um ID de chave do AWS KMS especificado. A regra será NON_COMPLIANT se um grupo de logs do CloudWatch não estiver criptografado com uma chave do KMS ou estiver criptografado com uma chave do KMS não fornecida no parâmetro da regra. |
| Application_control | É possível ter um inventário das plataformas e aplicações de software na organização ao gerenciar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o AWS Systems Manager. Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome da aplicação, publicador e versão, além de outros detalhes sobre seu ambiente. | |
| Application_control | Garanta que o AWS WAF tenha uma regra que não esteja vazia. Uma regra sem condições pode resultar em comportamento não intencional. | |
| Application_control | O AWS WAF deve ter um grupo de regras que não esteja vazio. Um grupo de regras vazio pode resultar em um comportamento não intencional. | |
| Application_control | Uma ACL da web anexada a um WAF pode conter uma coleção de regras e grupos de regras para inspecionar e controlar solicitações da web. Se uma ACL da web estiver vazia, o tráfego da web passará sem ser detectado ou acionado pelo WAF. | |
| Application_control | Use as associações do AWS Systems Manager para ajudar no inventário de plataformas e aplicações de software em uma organização. O AWS Systems Manager atribui um estado de configuração às instâncias gerenciadas e permite que você defina linhas de base de níveis de patch do sistema operacional, instalações de software, configurações de aplicações e outros detalhes sobre o ambiente. | |
| Patch_applications | Habilite o método serviço de metadados de instância versão 2 (IMDSv2) para ajudar a proteger o acesso e o controle dos metadados da instância do Amazon Elastic Compute Cloud (Amazon EC2). O método IMDSv2 usa controles baseados em sessão. Com o IMDSv2, os controles podem ser implementados para restringir alterações nos metadados da instância. | |
| Patch_applications | É possível ter um inventário das plataformas e aplicações de software na organização ao gerenciar instâncias do Amazon Elastic Compute Cloud (Amazon EC2) com o AWS Systems Manager. Use o AWS Systems Manager para fornecer configurações detalhadas do sistema, níveis de patch do sistema operacional, nome e tipo de serviços, instalações de software, nome da aplicação, publicador e versão, além de outros detalhes sobre seu ambiente. | |
| Patch_applications | As atualizações de segurança e patches são implantadas automaticamente nas tarefas do AWS Fargate. Se for encontrado um problema de segurança que afeta uma versão da plataforma do AWS Fargate, a AWS corrigirá a versão da plataforma. Para ajudar no gerenciamento de patches de suas tarefas do Amazon Elastic Container Service (ECS) executando o AWS Fargate, atualize as tarefas autônomas de seus serviços para usar a versão mais recente da plataforma. | |
| Patch_applications | ec2-instance-launched-with-allowed-ami |
Verifica se as instâncias do EC2 em execução ou interrompidas foram iniciadas com imagens de máquina da Amazon (AMIs) que atendem aos critérios de AMIs permitidas. A regra será NON_COMPLIANT se uma AMI não atender aos critérios de AMIs permitidas e quando as configurações de AMIs permitidas não estivem desabilitadas. |
| Patch_applications | Habilitar atualizações gerenciadas da plataforma para um ambiente do Amazon Elastic Beanstalk garante que as últimas correções, atualizações e recursos de plataforma disponíveis para o ambiente sejam instalados. Uma das práticas recomendadas para proteger sistemas é manter a instalação de patches em dia. | |
| Patch_applications | Habilite atualizações automáticas de versões secundárias nas instâncias do Amazon Relational Database Service (RDS) para garantir que as últimas atualizações de versões secundárias do sistema de gerenciamento de banco de dados relacional (RDBMS) estejam instaladas, o que pode incluir patches de segurança e correções de bugs. | |
| Patch_applications | Use as associações do AWS Systems Manager para ajudar no inventário de plataformas e aplicações de software em uma organização. O AWS Systems Manager atribui um estado de configuração às instâncias gerenciadas e permite que você defina linhas de base de níveis de patch do sistema operacional, instalações de software, configurações de aplicações e outros detalhes sobre o ambiente. | |
| Patch_applications | Essa regra garante que os clusters do Amazon Redshift tenham as configurações preferidas da organização. Especificamente, que eles tenham janelas de manutenção preferenciais e períodos automatizados de retenção de instantâneos para o banco de dados. Essa regra exige que você defina o allowVersionUpgrade. O padrão é true. Também permite definir opcionalmente o preferredMaintenanceWindow (o padrão é sat:16:00-sat:16:30) e o automatedSnapshotRetentionPeriod (o padrão é 1). Os valores reais devem refletir as políticas da organização. | |
| Restrict_administrative_privileges | Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para controlar o acesso a sistemas e ativos. A AWS recomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões. | |
| Restrict_administrative_privileges | O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham "Effect": "Allow" com "Action": "*" por "Resource": "*". Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. | |
| Restrict_administrative_privileges | O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima. | |
| Restrict_administrative_privileges | Para ajudar na implementação do princípio do privilégio mínimo, garanta que seu ambiente de projeto do Amazon CodeBuild não tenha o modo privilegiado habilitado. Essa configuração deve ser desabilitada para evitar o acesso não intencional às APIs do Docker, bem como ao hardware subjacente do contêiner. | |
| Restrict_administrative_privileges | Para ajudar na implementação do princípio de privilégio mínimo, as definições de tarefas do Amazon Elastic Container Service (Amazon ECS) não devem ter o privilégio elevado habilitado. Quando esse parâmetro é verdadeiro, o contêiner recebe privilégios elevados na instância de contêiner host (semelhante ao usuário raiz). | |
| Restrict_administrative_privileges | Habilitar o acesso somente de leitura aos contêineres do Amazon Elastic Container Service (ECS) pode ajudar a aderir à entidade principal de privilégio mínimo. Essa opção pode reduzir os vetores de ataque, pois o sistema de arquivos da instância do contêiner não pode ser modificado, a menos que tenha permissões explícitas de leitura e gravação. | |
| Restrict_administrative_privileges | Para ajudar na implementação do princípio de privilégio mínimo, garanta que um usuário não raiz seja designado para acessar suas definições de tarefas do Amazon Elastic Container Service (Amazon ECS). | |
| Restrict_administrative_privileges | Para ajudar na implementação do princípio de privilégio mínimo, habilite a fiscalização do usuário para o Amazon Elastic File System (Amazon EFS). Quando habilitada, o Amazon EFS substitui os IDs de usuário e grupo do cliente NFS pela identidade configurada no ponto de acesso para todas as operações do sistema de arquivos e concede acesso somente a essa identidade de usuário imposta. | |
| Restrict_administrative_privileges | O AWS Identity and Access Management (IAM) pode ajudar a restringir permissões e autorizações de acesso garantindo que os usuários sejam membros de pelo menos um grupo. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. | |
| Restrict_administrative_privileges | O AWS Identity and Access Management (IAM) pode ajudar com permissões e autorizações de acesso verificando as senhas e chaves de acesso do IAM que não são usadas por um período especificado. Se essas credenciais não utilizadas forem identificadas, você deverá desabilitar e/ou removê-las, pois isso pode violar o princípio de privilégio mínimo. Essa regra exige que você defina um valor para maxCredentialUsageAge (padrão do Config: 90). O valor real deve refletir as políticas da organização. | |
| Restrict_administrative_privileges | Garanta que uma autenticação do AWS Identity and Access Management (IAM) esteja habilitada nas instâncias do Amazon Relational Database Service (Amazon RDS) para controlar o acesso a sistemas e ativos. Isso força o tráfego de rede de e para o banco de dados a ser criptografado usando o Secure Sockets Layer (SSL). Você não precisa armazenar as credenciais de usuário no banco de dados, pois a autenticação é gerenciada externamente. | |
| Restrict_administrative_privileges | Os perfis de instância do EC2 passam um perfil do IAM para uma instância do EC2. Anexar um perfil de instância às instâncias pode ajudar no gerenciamento de privilégio mínimo e permissões. | |
| Restrict_administrative_privileges | Se uma definição de tarefa tem privilégios elevados, significa que o cliente optou especificamente por essas configurações. Esse controle verifica o aumento inesperado de privilégios quando uma definição de tarefa tem a rede de host habilitada e o cliente não optou por privilégios elevados. | |
| Restrict_administrative_privileges | O AWS Identity and Access Management (IAM) pode ajudar você a incorporar os princípios de privilégio mínimo e separação de deveres com permissões e autorizações de acesso, impedindo que as políticas contenham ações bloqueadas em todas as chaves do AWS Key Management Service. Ter mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização. | |
| Restrict_administrative_privileges | Assegure que um usuário, um perfil ou um grupo do AWS Identity and Access Management (IAM) não tenha uma política em linha para bloquear ações em todas as chaves do AWS Key Management Service. A AWSrecomenda usar políticas gerenciadas, em vez de políticas em linha. As políticas gerenciadas permitem a reutilização, o versionamento, a reversão e a delegação do gerenciamento de permissões. Essa regra permite que você defina o parâmetro blockedActionsPatterns. (Valor do Práticas Recomendadas de Segurança Básica da AWS: kms:Decrypt e kms:ReEncryptFrom). Os valores reais devem refletir as políticas da organização. | |
| Restrict_administrative_privileges | Garanta que as ações do IAM estejam restritas somente às ações necessárias. Permitir que os usuários tenham mais privilégios do que o necessário para concluir uma tarefa pode violar o princípio de privilégio mínimo e separação de deveres. | |
| Patch_operating_systems | Habilite essa regra para ajudar na identificação e documentação das vulnerabilidades do Amazon Elastic Compute Cloud (Amazon EC2). A regra verifica se a instância do Amazon EC2 está em conformidade com os patches no AWS Systems Manager, conforme exigido pelas políticas e pelos procedimentos da organização. | |
| Multi-factor_authentication | O acesso a sistemas e ativos pode ser controlado verificando se o usuário raiz não tem chaves de acesso anexadas ao seu perfil do AWS Identity and Access Management (IAM). Exclua as chaves de acesso raiz. Em vez disso, crie e use Contas da AWS baseadas em perfis para ajudar a incorporar o princípio da funcionalidade mínima. | |
| Multi-factor_authentication | Habilite essa regra para restringir o acesso a recursos na Nuvem AWS. Essa regra garante que a autenticação multifator (MFA) esteja habilitada para todos os usuários. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Reduza os incidentes de contas comprometidas exigindo que os usuários utilizem a MFA. | |
| Multi-factor_authentication | Para gerenciar o acesso Access a recursos na Nuvem AWS, habilite a MFA para todos os usuários do AWS Identity and Access Management (IAM) que têm uma senha de console. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir que os usuários utilizem a MFA, você reduz os incidentes de contas comprometidas e impede que dados confidenciais sejam acessados por usuários não autorizados. | |
| Multi-factor_authentication | Para gerenciar o acesso a recursos na Nuvem AWS, garanta que a MFA de hardware esteja habilitada para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além das credenciais de login. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas. | |
| Multi-factor_authentication | Para gerenciar o acesso a recursos na Nuvem AWS, habilite a MFA para o usuário raiz. O usuário raiz é o mais privilegiado em uma Conta da AWS. A MFA adiciona uma camada extra de proteção, além do nome de usuário e senha. Ao exigir MFA para o usuário raiz, é possível reduzir os incidentes de Contas da AWS comprometidas. | |
| Regular_backups | O recurso de backup do Amazon RDS cria backups dos bancos de dados e logs de transações. O Amazon RDS cria automaticamente um instantâneo do volume de armazenamento da instância de banco de dados, fazendo backup de toda a instância de banco de dados. O sistema permite que você defina períodos de retenção específicos para atender aos requisitos de resiliência. | |
| Regular_backups | Para ajudar nos processos de backup de dados, as tabelas do Amazon DynamoDB devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. | |
| Regular_backups | Para ajudar nos processos de backup de dados, os volumes do Amazon Elastic Block Store (Amazon EBS) devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. | |
| Regular_backups | Para ajudar nos processos de backup de dados, os sistemas de arquivos do Amazon Elastic File System (Amazon EFS) devem fazer parte de um plano do AWS backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. | |
| Regular_backups | Quando os backups automáticos são habilitados, o Amazon ElastiCache cria um backup do cluster diariamente. O backup pode ser retido por vários dias, conforme especificado pela organização. Os backups automáticos podem ajudar a proteger contra a perda de dados. Em caso de falha, é possível criar um cluster e restaurar os dados usando o backup mais recente. | |
| Regular_backups | Para ajudar nos processos de backup de dados, as instâncias do Amazon Relational Database Service (Amazon RDS) devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. | |
| Regular_backups | s3-bucket-default-lock-enabled |
Verifica se o bucket do S3 tem o bloqueio habilitado, por padrão. A regra será NON_COMPLIANT se o bloqueio não estiver habilitado. |
| Regular_backups | A Replicação entre regiões (CRR) do Amazon Simple Storage Service (Amazon S3) é compatível com a manutenção de capacidade e disponibilidade adequadas. A CRR permite a cópia automática e assíncrona de objetos nos buckets do Amazon S3 para ajudar a garantir a manutenção da disponibilidade de dados. | |
| Regular_backups | O versionamento do bucket do Amazon Simple Storage Service (Amazon S3) ajuda a manter diversas variantes de um objeto no mesmo bucket do Amazon S3. Use o versionamento para preservar, recuperar e restaurar todas as versões de cada objeto armazenado no bucket do Amazon S3. O versionamento ajuda você a se recuperar facilmente de ações não intencionais de usuários e de falhas da aplicação. | |
| Regular_backups | Para ajudar nos processos de backup de dados, os recursos do Amazon Aurora devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. | |
| Regular_backups | Para ajudar nos processos de backup de dados, o plano do AWS Backup deve ser definido para uma frequência e retenção mínimas. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. Essa regra permite definir os parâmetros requiredFrequencyValue (padrão do Config: 1), requiredRetentionDays (padrão do Config: 35) e requiredFrequencyUnit (padrão do Config: dias). O valor real deve refletir os requisitos da organização. | |
| Regular_backups | Os pontos de recuperação do AWS Backup devem ter uma política baseada em recursos anexada que impeça a exclusão de pontos de recuperação. Usar uma política baseada em recursos para impedir a exclusão de pontos de recuperação pode ajudar a evitar a exclusão acidental ou intencional. | |
| Regular_backups | Para ajudar nos processos de backup de dados, os recursos do Amazon Elastic Compute Cloud (Amazon EC2) devem fazer parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. | |
| Regular_backups | Para ajudar nos processos de backup de dados, os clusters do Amazon Redshift devem ter instantâneos automatizados. Quando instantâneos automatizados são habilitados para um cluster, o Redshift tira instantâneos desse cluster periodicamente. Por padrão, o Redshift tira um instantâneo a cada oito horas ou a cada 5 GB por nó de alterações de dados, o que ocorrer primeiro. |
Modelo
O modelo está disponível no GitHub: Operational Best Practices for ACSC Essential 8
