本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# NZISM 3.9(扩展版)操作最佳实践
Conformance Pack 提供了一个通用的合规框架,旨在使您能够使用托管或自定义 AWS Config 规则和 AWS Config 补救措施来创建安全、运营或成本优化治理检查。作为示例模板,合规包并不是为了完全确保遵守特定的治理或合规标准而设计的。您有责任自行评估自己对服务的使用是否符合适用的法律和监管要求。
以下提供了[新西兰政府通信安全局 (GCSB)《信息安全手册》(NZISM) 2025-11 版本 3.9 和](https://www.nzism.gcsb.govt.nz/ism-document) Managed Config 规则之间的映射示例。 AWS 每条 Config 规则都适用于特定的 AWS 资源类型,并与一个或多个 NZISM 控件相关。一个 NZISM 控制可以与多个 Config 规则相关联。有关这些映射的更多详细信息和指导,请参阅下表。映射中仅包含适用于“受限”及以下级别信息的控制措施,这些控制措施代表推荐或基准实践。
该示例合规包模板包含与 NZISM 框架内控制措施的映射,NZISM 框架是保护性安全要求(PSR)框架不可分割的一部分,规定了新西兰政府对人员、信息和人身安全管理的期望。
该合规包中的基础部分可以部署到悉尼和全球地区。新西兰过渡部分包含新西兰地区目前可用的 Foundation Config 规则的子集。基础部分目前不会部署到新西兰地区。此一致性包的扩展部分可以部署到悉尼和新西兰地区,以增强基础部分和新西兰过渡部分中提供的 Config 规则。
NZISM 根据知识共享署名 4.0 新西兰许可进行许可,可在[https://creativecommons.org/licenses/by/4.0/](https://creativecommons.org/licenses/by/4.0/)以下网址获得。版权信息可在 [NZISM 新西兰信息安全手册 \| 法律、隐私和版权](https://www.nzism.gcsb.govt.nz/legal-privacy-and-copyright/)中找到。
****
| 控制 ID | 控制描述 | AWS Config 规则 | 指南 |
| --- | --- | --- | --- |
| 2082 | 密码学、密码学基础知识、降低存储和物理传输要求 (17.1.53. C.04。) | [api-gw-cache-enabled并已加密](api-gw-cache-enabled-and-encrypted.md) | 为了帮助保护静态数据,请确保为 API Gateway 阶段的缓存启用加密。由于可能会为 API 方法捕获敏感数据,因此应启用静态加密以帮助保护这些数据。预生产环境可获得豁免。 |
| 2082 | 密码学、密码学基础知识、降低存储和物理传输要求 (17.1.53. C.04。) | [s3-default-encryption-kms](s3-default-encryption-kms.md) | 为了帮助保护静态数据,请确保您的 S3 存储桶已启用加密。由于 Amazon S3 存储桶中可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。有关加密过程和管理的更多信息,请使用 AWS Key Management Service (AWS KMS) 客户管理的 CMK。如果启用 SSE,则包含非敏感数据的存储桶可获得豁免。 |
| 3562 | 网关安全、网关、网关配置 (19.1.12. C.01。) | [alb-waf-enabled](alb-waf-enabled.md) | 确保在弹性负载均衡器 (ELB) 上启用 AWS WAF,以帮助保护 Web 应用程序。WAF 有助于保护您的 Web 应用程序或 API 免遭常见 Web 漏洞的侵害。这些 Web 漏洞可能会影响可用性、损害安全性或消耗环境中过多的资源。如果负载均衡器是启用 WAF 的 CloudFront 分配的来源,则可获得豁免。 |
| 3562 | 网关安全、网关、网关配置 (19.1.12. C.01。) | [api-gw-associated-with-waf](api-gw-associated-with-waf.md) | 此控件检查 API Gateway 阶段是否使用 AWS WAF 网络访问控制列表 (ACL)。如果 AWS WAF 区域 Web ACL 未连接到 REST API Gateway 阶段,则此控件将失败。AWS WAF 是一款 Web 应用程序防火墙,可帮助保护 Web 应用程序和 API 免受攻击。它使您能够配置 ACL,这是一组规则,可根据您定义的可自定义 Web 安全规则和条件来允许、阻止或计数 Web 请求。确保您的 API Gateway 阶段与 AWS WAF Web ACL 关联,以帮助保护其免受恶意攻击。如果 API Gateway 是启用 WAF 的 CloudFront 分配的来源,则可获得豁免。 |
| 4333 | 数据管理、内容过滤、内容验证 (20.3.7. C.02。) | [alb-waf-enabled](alb-waf-enabled.md) | 确保在弹性负载均衡器 (ELB) 上启用 AWS WAF,以帮助保护 Web 应用程序。WAF 有助于保护您的 Web 应用程序或 API 免遭常见 Web 漏洞的侵害。这些 Web 漏洞可能会影响可用性、损害安全性或消耗环境中过多的资源。 |
| 4333 | 数据管理、内容过滤、内容验证 (20.3.7. C.02。) | [api-gw-associated-with-waf](api-gw-associated-with-waf.md) | 此控件检查 API Gateway 阶段是否使用 AWS WAF 网络访问控制列表 (ACL)。如果 AWS WAF 区域 Web ACL 未连接到 REST API Gateway 阶段,则此控件将失败。AWS WAF 是一款 Web 应用程序防火墙,可帮助保护 Web 应用程序和 API 免受攻击。它使您能够配置 ACL,这是一组规则,可根据您定义的可自定义 Web 安全规则和条件来允许、阻止或计数 Web 请求。确保您的 API Gateway 阶段与 AWS WAF Web ACL 关联,以帮助保护其免受恶意攻击。如果 API Gateway 是启用 WAF 的 CloudFront 分配的来源,则可获得豁免。 |
| 4829 | 企业系统安全、云计算、系统可用性 (22.1.23. C.01。) | [rds-cluster-multi-az-enabled](rds-cluster-multi-az-enabled.md) | Amazon Aurora 将数据副本存储在单个 AWS 区域的多个可用区的数据库集群中。无论数据库集群中的数据库实例是否跨多个可用区,Aurora 都会存储这些副本。在将数据写入到主数据库实例时,Aurora 将数据跨可用区同步复制到与集群卷关联的 6 个存储节点。这样做可以提供数据冗余,消除 I/O 冻结,并最大限度地减少系统备份期间的延迟峰值。在计划内的系统维护期间,运行高性能的数据库实例可以提高可用性,并帮助保护数据库以防发生故障和可用区中断。该规则检查是否在由亚马逊关系数据库服务 (RDS) 管理的 Amazon Aurora 集群上启用了 Multi-AZ 复制。预生产环境可获得豁免。 |
| 4829 | 企业系统安全、云计算、系统可用性 (22.1.23. C.01。) | [rds-multi-az-support](rds-multi-az-support.md) | Multi-AZ Amazon 关系数据库 (RDS) Service 中的支持为数据库实例提供了增强的可用性和耐久性。当您配置 Multi-AZ 数据库实例时,Amazon RDS 会自动创建主数据库实例,并将数据同步复制到不同可用区域中的备用实例。每个可用性区域都在各自独立的物理基础设施上运行,具有高度可靠性。如果基础设施出现故障,Amazon RDS 会自动失效转移到备用服务器,这样您就可以在失效转移完成后立即恢复数据库操作。预生产环境可获得豁免。 |
| 4839 | 企业系统安全、云计算、未经授权的访问 (22.1.24. C.04。) | [sns-encrypted-kms](sns-encrypted-kms.md) | 为了帮助保护静态数据,请确保您的亚马逊简单通知服务 (Amazon SNS) Simple Notification Service 主题需要使用 AWS 密钥管理服务 (AWS KMS) 进行加密。由于已发布的消息中可能存在敏感的静态数据,因此应启用静态加密以帮助保护这些数据。如果向该主题发布的消息不包含敏感数据,则可获得豁免。 |
| 4849 | 企业系统安全、云计算、备份、恢复、归档和数据剩余 (22.1.26. C.01。) | [dynamodb-in-backup-plan](dynamodb-in-backup-plan.md) | 为了帮助完成数据备份流程,请确保您的 Amazon DynamoDB 表包含在 AWS Backup 计划中。AWS Backup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案可简化您的备份管理,使您能够满足业务和监管备份合规性要求。配置补偿性恢复解决方案后,即可获得豁免。 |
| 4849 | 企业系统安全、云计算、备份、恢复、归档和数据剩余 (22.1.26. C.01。) | [ebs-in-backup-plan](ebs-in-backup-plan.md) | 为了帮助完成数据备份流程,请确保您的亚马逊 Elastic Block Store (Amazon EBS) 卷包含在 AWS Backup 计划中。AWS Backup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案可简化您的备份管理,使您能够满足业务和监管备份合规性要求。配置补偿性恢复解决方案后,即可获得豁免。 |
| 4849 | 企业系统安全、云计算、备份、恢复、归档和数据剩余 (22.1.26. C.01。) | [efs-in-backup-plan](efs-in-backup-plan.md) | 为了帮助完成数据备份流程,请确保您的亚马逊弹性文件系统 (Amazon EFS) 文件系统是 AWS 备份计划的一部分。AWS Backup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案可简化您的备份管理,使您能够满足业务和监管备份合规性要求。配置补偿性恢复解决方案后,即可获得豁免。 |
| 4849 | 企业系统安全、云计算、备份、恢复、归档和数据剩余 (22.1.26. C.01。) | [rds-in-backup-plan](rds-in-backup-plan.md) | 为了帮助完成数据备份流程,请确保您的亚马逊关系数据库服务 (RDS) 实例是 AWS 备份计划的一部分。AWS Backup 是一项完全托管的备份服务,具有基于策略的备份解决方案。该解决方案可简化您的备份管理,使您能够满足业务和监管备份合规性要求。配置补偿性恢复解决方案后,即可获得豁免。 |
| 4849 | 企业系统安全、云计算、备份、恢复、归档和数据剩余 (22.1.26. C.01。) | [s3-bucket-versioning-enabled](s3-bucket-versioning-enabled.md) | Amazon Simple Storage Service(Amazon S3)存储桶版本控制有助于将对象的多个变体保存在同一 Amazon S3 存储桶中。对于 Amazon S3 存储桶中存储的每个对象,使用版本控制功能来保存、检索和还原它们的各个版本。版本控制功能可帮助您轻松地从用户意外操作和应用程序故障中恢复。当仅需创建对象的单个变体,或已配置补偿性恢复解决方案时,可获得豁免。 |
| 7466 | 公共云安全、公共云中的数据保护、数据可访问性 (23.4.10. C.01。) | [alb-waf-enabled](alb-waf-enabled.md) | 确保在弹性负载均衡器 (ELB) 上启用 AWS WAF,以帮助保护 Web 应用程序。WAF 有助于保护您的 Web 应用程序或 API 免遭常见 Web 漏洞的侵害。这些 Web 漏洞可能会影响可用性、损害安全性或消耗环境中过多的资源。 |
| 7466 | 公共云安全、公共云中的数据保护、数据可访问性 (23.4.10. C.01。) | [api-gw-associated-with-waf](api-gw-associated-with-waf.md) | 此控件检查 API Gateway 阶段是否使用 AWS WAF 网络访问控制列表 (ACL)。如果 AWS WAF 区域 Web ACL 未连接到 REST API Gateway 阶段,则此控件将失败。AWS WAF 是一款 Web 应用程序防火墙,可帮助保护 Web 应用程序和 API 免受攻击。它使您能够配置 ACL,这是一组规则,可根据您定义的可自定义 Web 安全规则和条件来允许、阻止或计数 Web 请求。确保您的 API Gateway 阶段与 AWS WAF Web ACL 关联,以帮助保护其免受恶意攻击。如果 API Gateway 是启用 WAF 的 CloudFront 分配的来源,则可获得豁免。 |
## 模板
```
##################################################################################
#
# Conformance Pack:
# Operational Best Practices for NZISM Extension
#
# This conformance pack helps verify compliance with NZISM requirements.
#
##################################################################################
Resources:
AlbWafEnabled:
Condition: checkAlbWafEnabled
Controls: [ '3562', '4333', '7466' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: alb-waf-enabled
Scope:
ComplianceResourceTypes:
- AWS::ElasticLoadBalancingV2::LoadBalancer
Source:
Owner: AWS
SourceIdentifier: ALB_WAF_ENABLED
Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 20.3.7.C.02[CID:4333], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Data management/Conten..."
ApiGwAssociatedWithWaf:
Condition: checkApiGwAssociatedWithWaf
Controls: [ '3562', '4333', '7466' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: api-gw-associated-with-waf
Source:
Owner: AWS
SourceIdentifier: API_GW_ASSOCIATED_WITH_WAF
Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 20.3.7.C.02[CID:4333], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Data management/Conten..."
ApiGwCacheEnabledAndEncrypted:
Condition: checkApiGwCacheEnabledAndEncrypted
Controls: [ '2082' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: api-gw-cache-enabled-and-encrypted
Scope:
ComplianceResourceTypes:
- AWS::ApiGateway::Stage
Source:
Owner: AWS
SourceIdentifier: API_GW_CACHE_ENABLED_AND_ENCRYPTED
Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements"
DynamodbInBackupPlan:
Condition: checkDynamodbInBackupPlan
Controls: [ '4849' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: dynamodb-in-backup-plan
Source:
Owner: AWS
SourceIdentifier: DYNAMODB_IN_BACKUP_PLAN
Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
EbsInBackupPlan:
Condition: checkEbsInBackupPlan
Controls: [ '4849' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: ebs-in-backup-plan
Source:
Owner: AWS
SourceIdentifier: EBS_IN_BACKUP_PLAN
Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
EfsInBackupPlan:
Condition: checkEfsInBackupPlan
Controls: [ '4849' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: efs-in-backup-plan
Source:
Owner: AWS
SourceIdentifier: EFS_IN_BACKUP_PLAN
Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
RdsClusterMultiAzEnabled:
Condition: checkRdsClusterMultiAzEnabled
Controls: [ '4829' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: rds-cluster-multi-az-enabled
Scope:
ComplianceResourceTypes:
- AWS::RDS::DBCluster
Source:
Owner: AWS
SourceIdentifier: RDS_CLUSTER_MULTI_AZ_ENABLED
Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability"
RdsInBackupPlan:
Condition: checkRdsInBackupPlan
Controls: [ '4849' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: rds-in-backup-plan
Source:
Owner: AWS
SourceIdentifier: RDS_IN_BACKUP_PLAN
Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
RdsMultiAzSupport:
Condition: checkRdsMultiAzSupport
Controls: [ '4829' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: rds-multi-az-support
Scope:
ComplianceResourceTypes:
- AWS::RDS::DBInstance
Source:
Owner: AWS
SourceIdentifier: RDS_MULTI_AZ_SUPPORT
Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability"
S3BucketVersioningEnabled:
Condition: checkS3BucketVersioningEnabled
Controls: [ '4849' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: s3-bucket-versioning-enabled
Scope:
ComplianceResourceTypes:
- AWS::S3::Bucket
Source:
Owner: AWS
SourceIdentifier: S3_BUCKET_VERSIONING_ENABLED
Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
S3DefaultEncryptionKms:
Condition: checkS3DefaultEncryptionKms
Controls: [ '2082' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: s3-default-encryption-kms
Scope:
ComplianceResourceTypes:
- AWS::S3::Bucket
Source:
Owner: AWS
SourceIdentifier: S3_DEFAULT_ENCRYPTION_KMS
Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements"
SnsEncryptedKms:
Condition: checkSnsEncryptedKms
Controls: [ '4839' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: sns-encrypted-kms
Scope:
ComplianceResourceTypes:
- AWS::SNS::Topic
Source:
Owner: AWS
SourceIdentifier: SNS_ENCRYPTED_KMS
Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access"
```