ACSC ISM 操作最佳实践 - 第 2 部分

合规包提供了一个通用合规框架，旨在使您能够使用托管或自定义 AWS Config 规则和 AWS Config 补救措施来创建安全、运营或成本优化治理检查。作为示例模板，合规包并不是为了完全确保遵守特定的治理或合规标准而设计的。您有责任自行评估自己对服务的使用是否符合适用的法律和监管要求。

下面提供了澳大利亚网络安全中心（ACSC）《信息安全手册》（ISM）2020-06 与 AWS 托管 Config 规则之间的映射示例。每条 Config 规则都适用于特定的 AWS 资源，并与一个或多个 ISM 控制相关。一个 ISM 控制可以与多个 Config 规则相关联。有关这些映射的更多详细信息和指导，请参阅下表。

此示例合规性包模板包含与 ISM 框架内控制的映射，该框架由澳大利亚联邦创建，可在澳大利亚政府信息安全手册中找到。有关知识共享署名 4.0 国际公共许可证下的框架许可和该框架的版权信息（包括免责声明），请访问 ACSC | 版权。

控制 ID	AWS Config 规则	指南
1984	appmesh-virtual-gateway-backend-defaults-tls	检查 AWS App Mesh 虚拟网关的后端默认设置是否要求虚拟网关使用 TLS 与所有端口通信。如果 configuration.Spec.BackendDefaults.ClientPolicy.Tls.Enforce 为 false，则此规则为 NON_COMPLIANT。
1984	appmesh-virtual-node-backend-defaults-tls-on	检查 AWS App Mesh 虚拟节点的后端默认设置是否要求虚拟节点使用 TLS 与所有端口通信。如果 configuration.Spec.BackendDefaults.ClientPolicy.Tls.Enforce 为 false，则此规则为 NON_COMPLIANT。
1984	msk-in-cluster-node-require-tls	检查 Amazon MSK 集群是否使用 HTTPS（TLS）对集群的代理节点进行传输中加密。如果为集群内代理节点连接启用了纯文本通信，则此规则为 NON_COMPLIANT。
1984	rds-mysql-instance-encrypted-in-transit	检查与 Amazon RDS for MySQL 数据库实例的连接是否配置为使用在传输中加密。如果关联的数据库参数组不同步或者 require_secure_transport 参数未设置为 1，则此规则为 NON_COMPLIANT。
1984	rds-postgres-instance-encrypted-in-transit	检查与 Amazon RDS for PostgreSQL 数据库实例的连接是否配置为使用在传输中加密。如果关联的数据库参数组不同步或者 rds.force_ssl 参数未设置为 1，则此规则为 NON_COMPLIANT。
1985	ebs-snapshot-public-restorable-check	检查 Amazon Elastic Block Store（Amazon EBS）是否不可公开还原。如果一个或多个快照的 RestorableByUserIds 字段设置为 all，即 Amazon EBS 快照为公共快照，则此规则为 NON_COMPLIANT。
1985	s3-bucket-mfa-delete-enabled	检查 Amazon Elastic Block Store（Amazon EBS）是否不可公开还原。如果一个或多个快照的 RestorableByUserIds 字段设置为 all，即 Amazon EBS 快照为公共快照，则此规则为 NON_COMPLIANT。
1985	s3-bucket-public-read-prohibited	检查您的 Amazon S3 存储桶是否不允许公有读取访问。该规则将检查“阻止公有访问”设置、存储桶策略和存储桶访问控制列表（ACL）。当满足以下两个条件时，该规则也合规： “阻止公有访问”设置限制公有策略，或者存储桶策略不允许公有读取访问。 “阻止公有访问”设置限制公有 ACL，或者存储桶 ACL 不允许公有读取访问。在以下情况下，此规则不合规：如果“阻止公有访问”设置不限制公有策略，则 AWS Config 将评估策略是否允许公有读取访问。如果策略允许公有读取访问，则此规则不合规。如果“阻止公有访问”设置不限制公有存储桶 ACL，则 AWS Config 将评估存储桶 ACL 是否允许公有读取访问。如果存储桶 ACL 允许公有读取访问，则此规则将不合规。
1985	s3-bucket-public-write-prohibited	检查您的 Amazon S3 存储桶是否允许公有写入访问。该规则将检查“阻止公有访问”设置、存储桶策略和存储桶访问控制列表（ACL）。当满足以下两个条件时，该规则也合规： “阻止公有访问”设置限制公有策略，或者存储桶策略不允许公有写入访问。 “阻止公有访问”设置限制公有 ACL，或者存储桶 ACL 不允许公有写入访问。在以下情况下，此规则不合规：如果“阻止公有访问”设置不限制公有策略，则 AWS Config 将评估策略是否允许公有写入访问。如果策略允许公有写入访问，则此规则将不合规。如果“阻止公有访问”设置不限制公有存储桶 ACL，则 AWS Config 将评估存储桶 ACL 是否允许公有写入访问。如果存储桶 ACL 允许公有写入访问，则此规则将不合规。
1985	aurora-resources-in-logically-air-gapped-vault	检查 Amazon Aurora 数据库集群是否位于逻辑上受物理隔离的保管库中。如果 Amazon Aurora 数据库集群没有在指定时间段内位于逻辑上受物理隔离的保管库中，则此规则为 NON_COMPLIANT。
1985	ebs-resources-in-logically-air-gapped-vault	检查 Amazon Elastic Block Store（Amazon EBS）卷是否位于逻辑上受物理隔离的保管库中。如果 Amazon EBS 卷未在指定时间段内位于逻辑上受物理隔离的保管库中，则此规则为 NON_COMPLIANT。
1985	ec2-resources-in-logically-air-gapped-vault	检查 Amazon Elastic Block Store（Amazon EBS）实例是否位于逻辑上受物理隔离的保管库中。如果 Amazon EBS 实例未在指定时间段内位于逻辑上受物理隔离的保管库中，则此规则为 NON_COMPLIANT。
1985	efs-resources-in-logically-air-gapped-vault	检查 Amazon Elastic File System（Amazon EFS）文件系统是否位于逻辑上受物理隔离的保管库中。如果 Amazon EFS 文件系统未在指定时间段内位于逻辑上受物理隔离的保管库中，则此规则为 NON_COMPLIANT。
1985	s3-resources-in-logically-air-gapped-vault	检查 Amazon Simple Storage Service（Amazon S3）存储桶是否位于逻辑上受物理隔离的保管库中。如果 Amazon S3 存储桶未在指定时间段内位于逻辑上受物理隔离的保管库中，则此规则为 NON_COMPLIANT。

模板

该模板可在 GitHub 上找到：ACSC ISM 操作最佳实践 - 第 2 部分。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

ACSC ISM 操作最佳实践 - 第 1 部分

人工智能和机器学习操作最佳实践