ACSC ISM 最佳操作实践-第 2 部分

Conformance Pack 提供了一个通用的合规框架，旨在使您能够使用托管或自定义 AWS Config 规则和 AWS Config 补救措施来创建安全、运营或成本优化治理检查。作为示例模板，合规包并不是为了完全确保遵守特定的治理或合规标准而设计的。您有责任自行评估自己对服务的使用是否符合适用的法律和监管要求。

以下提供了澳大利亚网络安全中心 (ACSC)《信息安全手册》(ISM) 2020-06 与托管 C AWS onfig 规则之间的其他示例映射。每条 Config 规则都适用于特定的 AWS 资源，并与一个或多个 ISM 控件相关。一个 ISM 控制可以与多个 Config 规则相关联。有关这些映射的更多详细信息和指导，请参阅下表。

此示例合规性包模板包含与 ISM 框架内控制的映射，该框架由澳大利亚联邦创建，可在澳大利亚政府信息安全手册中找到。有关知识共享署名 4.0 国际公共许可证下的框架许可和该框架的版权信息（包括免责声明），请访问 ACSC | 版权。

控制 ID	AWS Config 规则	指南
1984	appmesh-virtual-gateway-backend-默认值-tls	检查 AWS App Mesh 虚拟网关的后端默认值是否要求虚拟网关使用 TLS 与所有端口通信。如果 Configuration.spec，则该规则不合规。 BackendDefaults。 ClientPolicy.Tls.Enforce 是错误的。
1984	appmesh-virtual-node-backend-defaults-tls-on	检查 AWS App Mesh 虚拟节点的后端默认值是否要求虚拟节点使用 TLS 与所有端口通信。如果 Configuration.spec，则该规则不合规。 BackendDefaults。 ClientPolicy.Tls.Enforce 是错误的。
1984	msk-in-cluster-node-需要-tls	检查 Amazon MSK 集群是否使用 HTTPS (TLS) 对集群的代理节点进行传输中加密。如果为集群内代理节点连接启用了纯文本通信，则此规则为 NON_COMPLIANT。
1984	rds-mysql-instance-encrypted在途中	检查与 Amazon RDS for MySQL 数据库实例的连接是否配置为使用在传输中加密。如果关联的数据库参数组不同步或者 require_secure_transport 参数未设置为 1，则此规则为 NON_COMPLIANT。
1984	rds-postgres-instance-encrypted在途中	检查与 Amazon RDS for PostgreSQL 数据库实例的连接是否配置为在传输中使用加密。如果关联的数据库参数组不同步或者 rds.force_ssl 参数未设置为 1，则此规则为 NON_COMPLIANT。
1985	ebs-snapshot-public-restorable-检查	检查 Amazon Elastic Block Store (Amazon EBS) 是否不可公开还原。如果将一个或多个带 RestorableByUserIds字段的快照设置为全部，即 Amazon EBS 快照是公开的，则该规则不合规。
1985	s3-bucket-mfa-delete-enabled	检查 Amazon Elastic Block Store (Amazon EBS) 是否不可公开还原。如果将一个或多个带 RestorableByUserIds字段的快照设置为全部，即 Amazon EBS 快照是公开的，则该规则不合规。
1985	s3-bucket-public-read-prohibited	检查您的 Amazon S3 存储桶是否不允许公有读取访问。该规则将检查“阻止公有访问”设置、存储桶策略和存储桶访问控制列表 (ACL)。当满足以下两个条件时，该规则也合规： “阻止公有访问”设置限制公有策略，或者存储桶策略不允许公有读取访问。 “阻止公共访问” 设置限制了公共访问权限， ACLs 或者存储桶 ACL 不允许公共读取权限。在以下情况下，该规则不合规：如果 “阻止公共访问” 设置不限制公共策略，则 AWS Config 评估该策略是否允许公共读取权限。如果策略允许公共读取权限，则该规则不合规。如果 “阻止公共访问” 设置不限制公共存储桶 ACLs，则 AWS Config 评估存储桶 ACL 是否允许公共读取权限。如果存储桶 ACL 允许公共读取权限，则该规则不合规。
1985	s3-bucket-public-write-prohibited	检查您的 Amazon S3 存储桶是否允许公有写入访问。该规则将检查“阻止公有访问”设置、存储桶策略和存储桶访问控制列表 (ACL)。当满足以下两个条件时，该规则也合规： “阻止公有访问”设置限制公有策略，或者存储桶策略不允许公有写入访问。 “阻止公共访问” 设置限制了公共访问权限 ACLs 或存储桶 ACL 不允许公共写入权限。在以下情况下，该规则不合规：如果 “阻止公共访问” 设置不限制公共策略，则 AWS Config 评估该策略是否允许公共写入权限。如果策略允许公共写入权限，则该规则不合规。如果 “阻止公共访问” 设置不限制公共存储桶 ACLs，则 AWS Config 评估存储桶 ACL 是否允许公共写入权限。如果存储桶 ACL 允许公共写入权限，则该规则不合规。
1985	aurora-resources-in-logically-air-gapped-vault	检查 Amazon Aurora 数据库集群是否位于逻辑上受物理隔离的保管库中。如果 Amazon Aurora 数据库集群没有在指定时间段内位于逻辑上受物理隔离的保管库中，则此规则为 NON_COMPLIANT。
1985	ebs-resources-in-logically-air-gapped-vault	检查 Amazon Elastic Block Store（Amazon EBS）卷是否位于逻辑上受物理隔离的保管库中。如果 Amazon EBS 卷未在指定时间段内位于逻辑上受物理隔离的保管库中，则此规则为 NON_COMPLIANT。
1985	ec2-resources-in-logically-air-gapped-vault	检查 Amazon Elastic Block Store (Amazon EBS) 实例是否位于逻辑上存在气隙的保管库中。如果 Amazon EBS 实例在指定时间段内不在逻辑上存在气隙的文件库中，则该规则不合规。
1985	efs-resources-in-logically-air-gapped-vault	检查 Amazon Elastic File System（Amazon EFS）文件系统是否位于逻辑上受物理隔离的保管库中。如果 Amazon EFS 文件系统未在指定时间段内位于逻辑上受物理隔离的保管库中，则此规则为 NON_COMPLIANT。
1985	s3-resources-in-logically-air-gapped-vault	检查 Amazon Simple Storage Service（Amazon S3）存储桶是否位于逻辑上受物理隔离的保管库中。如果 Amazon S3 存储桶未在指定时间段内位于逻辑上受物理隔离的保管库中，则此规则为 NON_COMPLIANT。

模板

此模板可在以下网址获得 GitHub：ACSC ISM 操作最佳实践-第 2 部分。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

ACSC ISM 最佳操作实践-第 1 部分

人工智能和机器学习操作最佳实践