ACSC ISM 的操作最佳實務 - 第 2 部分

一致性套件提供一般用途的合規架構，可讓您使用受管或自訂 AWS Config 規則和 AWS Config 修補動作來建立安全、操作或成本最佳化控管檢查。一致性套件 (作為範例範本) 並不是為了完全確保符合特定控管或合規標準而設計。您有責任自行評估服務的使用情形是否符合適用的法律和法規要求。

以下提供澳洲網路安全中心 (ACSC) 資訊安全手冊 (ISM) 2020-06 與 AWS 受管 Config 規則之間的額外範例映射。每個 Config 規則都適用於特定 AWS 資源，並與一或多個 ISM 控制項相關。一個 ISM 控制可以與多個組態規則相關。如需與這些映射相關的詳細資訊和指引，請參閱下方資料表。

此一致性套件範本範例包含 ISM 架構控制的映射，該架構由澳洲聯邦所建立，其可在 Australian Government Information Security Manual 中取得。如需 Creative Commons Attribution 4.0 國際公眾授權下的架構授權和該架構的著作權資訊 (包括保證免責聲明)，請參閱 ACSC | Copyright。

控制 ID	AWS 組態規則	指引
1984	appmesh-virtual-gateway-backend-defaults-tls	檢查 AWS App Mesh 虛擬閘道的後端預設值是否需要虛擬閘道使用 TLS 與所有連接埠通訊。如果 configuration.Spec.BackendDefaults.ClientPolicy.Tls.Enforce 為 false，則表示規則為 NON_COMPLIANT。
1984	appmesh-virtual-node-backend-defaults-tls-on	檢查 AWS App Mesh 虛擬節點的後端預設值是否需要虛擬節點使用 TLS 與所有連接埠通訊。如果 configuration.Spec.BackendDefaults.ClientPolicy.Tls.Enforce 為 false，則表示規則為 NON_COMPLIANT。
1984	msk-in-cluster-node-require-tls	檢查 Amazon MSK 叢集是否使用 HTTPS (TLS) 對叢集的代理程式節點強制執行傳輸中加密。如果叢集內代理程式節點連線已啟用純文字通訊，則表示規則為「NON_COMPLIANT」。
1984	rds-mysql-instance-encrypted-in-transit	檢查與 Amazon RDS for MySQL 資料庫執行個體的連線是否設定為使用傳輸中的加密。如果關聯的資料庫參數群組不是 in-sync 或 require_secure_transport 參數未設定為 1，則表示規則為 NON_COMPLIANT。
1984	rds-postgres-instance-encrypted-in-transit	檢查 Amazon RDS for PostgreSQL 資料庫執行個體的連線是否設定為使用傳輸中的加密。如果關聯的資料庫參數群組不是 in-sync 或 rds.force_ssl 參數未設定為 1，則表示規則為「NON_COMPLIANT」。
1985	ebs-snapshot-public-restorable-check	檢查 Amazon Elastic Block Store (Amazon EBS) 快照是否不可公開還原。如果將一或多個具有 RestorableByUserIds 欄位的快照設為 "all" (也就是說，Amazon EBS 快照為公用)，則表示規則為「NON_COMPLIANT」。
1985	s3-bucket-mfa-delete-enabled	檢查 Amazon Elastic Block Store (Amazon EBS) 快照是否不可公開還原。如果將一或多個具有 RestorableByUserIds 欄位的快照設為 "all" (也就是說，Amazon EBS 快照為公用)，則表示規則為「NON_COMPLIANT」。
1985	s3-bucket-public-read-prohibited	檢查您的 Amazon S3 儲存貯體是否不允許公開讀取存取。規則會檢查封鎖公開存取設定、儲存貯體政策和儲存貯體存取控制清單 (ACL)。同時滿足以下兩個條件時，規則是合規的：封鎖公開存取設定限制公有政策或儲存貯體政策不允許公有讀取存取。封鎖公開存取設定限制公有 ACL 或儲存貯體 ACL 不允許公有讀取存取。規則在以下情況下不合規：如果封鎖公開存取設定未限制公有政策，則會 AWS Config 評估政策是否允許公開讀取存取。如果政策允許公開讀取存取，則表示規則不合規。如果封鎖公開存取設定未限制公有儲存貯ACLs，則會 AWS Config 評估儲存貯體 ACL 是否允許公開讀取存取。如果儲存貯體 ACL 允許公開讀取存取，則表示規則不合規。
1985	s3-bucket-public-write-prohibited	檢查您的 Amazon S3 儲存貯體是否不允許公有寫入存取。規則會檢查封鎖公開存取設定、儲存貯體政策和儲存貯體存取控制清單 (ACL)。同時滿足以下兩個條件時，規則是合規的：封鎖公開存取設定限制公有政策或儲存貯體政策不允許公有寫入存取。封鎖公開存取設定限制公有 ACL 或儲存貯體 ACL 不允許公有寫入存取。規則在以下情況下不合規：如果封鎖公開存取設定未限制公有政策，則會 AWS Config 評估政策是否允許公開寫入存取。如果政策允許公有寫入存取，則表示規則不合規。如果封鎖公開存取設定未限制公有儲存貯ACLs，則會 AWS Config 評估儲存貯體 ACL 是否允許公開寫入存取。如果儲存貯體 ACL 允許公有寫入存取，則表示規則不合規。
1985	aurora-resources-in-logically-air-gapped-vault	檢查 Amazon Aurora 資料庫叢集是否位於邏輯氣隙隔離保存庫中。如果 Amazon Aurora 資料庫叢集在指定期間內不在邏輯氣隙隔離保存庫中，則表示規則為「NON_COMPLIANT」。
1985	ebs-resources-in-logically-air-gapped-vault	檢查 Amazon Elastic Block Store (Amazon EBS) 磁碟區是否位於邏輯氣隙隔離保存庫中。如果 Amazon EBS 磁碟區在指定期間內不在邏輯氣隙隔離保存庫中，則表示規則為「NON_COMPLIANT」。
1985	ec2-resources-in-logically-air-gapped-vault	檢查 Amazon Elastic Block Store (Amazon EBS) 執行個體是否位於邏輯氣隙隔離保存庫中。如果 Amazon EBS 執行個體在指定期間內不在邏輯氣隙隔離保存庫中，則表示規則為「NON_COMPLIANT」。
1985	efs-resources-in-logically-air-gapped-vault	檢查 Amazon Elastic File System (Amazon EFS) 檔案系統是否位於邏輯氣隙隔離保存庫中。如果 Amazon EFS 檔案系統在指定期間內不在邏輯氣隙隔離保存庫中，則表示規則為「NON_COMPLIANT」。
1985	s3-resources-in-logically-air-gapped-vault	檢查 Amazon Simple Storage Service (Amazon S3) 儲存貯體是否位於邏輯氣隙隔離保存庫中。如果 Amazon S3 儲存貯體在指定期間內不在邏輯氣隙隔離保存庫中，則表示規則為「NON_COMPLIANT」。

範本

此範本可在 GitHub 上取得：ACSC ISM 的操作最佳實務 - 第 2 部分。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

ACSC ISM 的操作最佳實務 - 第 1 部分

AI 和 ML 的操作最佳實務