本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# NZISM 3.9 的操作最佳實務 (延伸)
一致性套件提供一般用途的合規架構,可讓您使用受管或自訂 AWS Config 規則和 AWS Config 修補動作來建立安全、操作或成本最佳化控管檢查。一致性套件 (作為範例範本) 並不是為了完全確保符合特定控管或合規標準而設計。您有責任自行評估服務的使用情形是否符合適用的法律和法規要求。
以下提供[紐西蘭政府通訊安全局 (GCSB) 資訊安全手冊 (NZISM) 2025-11 3.9 版](https://www.nzism.gcsb.govt.nz/ism-document)與 AWS 受管 Config 規則之間的範例映射。每個 Config 規則都適用於特定的 AWS 資源類型,並與一或多個 NZISM 控制項相關。一個 NZISM 控制可以與多個 Config 規則相關。如需與這些映射相關的詳細資訊和指引,請參閱下方資料表。只有代表 RESTRICTED 和以下分類資訊的建議或基準實務的控制項才會包含在映射中。
此一致性套件範本範例包含 NZISM 架構控制的映射,該架構是保護安全要求 (PSR) 架構不可或缺的一部分,其中闡述了紐西蘭政府對人員、資訊和實體安全管理的期望。
此一致性套件的基礎部分可以部署到雪梨和全球區域。NZ 轉換部分包含紐西蘭區域目前可用的 Foundation Config 規則子集。Foundation 組件目前不會部署到紐西蘭區域。此一致性套件的延伸部分可以部署到雪梨和紐西蘭區域,以增強 Foundation 和 NZ Transition 部分中提供的 Config 規則。
NZISM 依據 Creative Commons 姓名標示 4.0 紐西蘭授權條款獲得授權,這些授權條款可從 [https://creativecommons.org/licenses/by/4.0/](https://creativecommons.org/licenses/by/4.0/) 取得。如需著作權資訊,請參閱 [NZISM New Zealand Information Security Manual \| Legal, Privacy, and Copyrigh](https://www.nzism.gcsb.govt.nz/legal-privacy-and-copyright/)。
****
| 控制 ID | 控制描述 | AWS Config 規則 | 指引 |
| --- | --- | --- | --- |
| 2082 | 密碼編譯、密碼編譯基礎、降低儲存和實體傳輸需求 (17.1.53.C.04)。 | [api-gw-cache-enabled-and-encrypted](api-gw-cache-enabled-and-encrypted.md) | 為了協助保護靜態資料,請確保已針對 API Gateway 階段的快取啟用加密功能。由於可以針對 API 方法擷取敏感資料,因此請啟用靜態加密以協助保護該資料。免稅適用於生產前環境。 |
| 2082 | 密碼編譯、密碼編譯基礎、降低儲存和實體傳輸需求 (17.1.53.C.04)。 | [s3-default-encryption-kms](s3-default-encryption-kms.md) | 為了協助保護靜態資料,請確定您的 S3 儲存貯體已啟用加密。由於 Amazon S3 儲存貯體中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。如需加密程序和管理的詳細資訊,請使用 AWS Key Management Service (AWS KMS) 客戶管理CMKs。如果已啟用 SSE,則包含非敏感資料的儲存貯體可以使用豁免。 |
| 3562 | 閘道安全性、閘道、閘道組態 (19.1.12.C.01)。 | [alb-waf-enabled](alb-waf-enabled.md) | 確保在 Elastic Load Balancer (ELB) 上啟用 AWS WAF,以協助保護 Web 應用程式。WAF 有助於保護 Web 應用程式或 API 免於常見的網路攻擊。這些網路惡意探索攻擊可能會影響可用性、危及安全性,或在環境中耗用過多資源。如果負載平衡器是啟用 WAF 之 CloudFront 分佈的原始伺服器,則可使用豁免。 |
| 3562 | 閘道安全性、閘道、閘道組態 (19.1.12.C.01)。 | [api-gw-associated-with-waf](api-gw-associated-with-waf.md) | 此控制項會檢查 API Gateway 階段是否使用 AWS WAF Web 存取控制清單 (ACL)。如果 AWS WAF 區域 Web ACL 未連接至 REST API Gateway 階段,則此控制項會失敗。AWS WAF 是一個 Web 應用程式防火牆,有助於保護 Web 應用程式和 API 不受攻擊,它可讓您設定 ACL,這是一組規則,可根據您定義的可自訂 Web 安全規則和條件來允許、封鎖或計數 Web 請求。確保您的 API Gateway 階段與 AWS WAF Web ACL 相關聯,以協助保護它免受惡意攻擊。如果 API Gateway 是啟用 WAF 的 CloudFront 分佈的原始伺服器,則可以使用豁免。 |
| 4333 | 資料管理、內容篩選、內容驗證 (20.3.7.C.02.) | [alb-waf-enabled](alb-waf-enabled.md) | 確保在 Elastic Load Balancer (ELB) 上啟用 AWS WAF,以協助保護 Web 應用程式。WAF 有助於保護 Web 應用程式或 API 免於常見的網路攻擊。這些網路惡意探索攻擊可能會影響可用性、危及安全性,或在環境中耗用過多資源。 |
| 4333 | 資料管理、內容篩選、內容驗證 (20.3.7.C.02.) | [api-gw-associated-with-waf](api-gw-associated-with-waf.md) | 此控制項會檢查 API Gateway 階段是否使用 AWS WAF Web 存取控制清單 (ACL)。如果 AWS WAF 區域 Web ACL 未連接至 REST API Gateway 階段,則此控制項會失敗。AWS WAF 是一個 Web 應用程式防火牆,有助於保護 Web 應用程式和 API 不受攻擊,它可讓您設定 ACL,這是一組規則,可根據您定義的可自訂 Web 安全規則和條件來允許、封鎖或計數 Web 請求。確保您的 API Gateway 階段與 AWS WAF Web ACL 相關聯,以協助保護它免受惡意攻擊。如果 API Gateway 是啟用 WAF 的 CloudFront 分佈的原始伺服器,則可以使用豁免。 |
| 4829 | 企業系統安全性、雲端運算、系統可用性 (22.1.23.C.01)。 | [rds-cluster-multi-az-enabled](rds-cluster-multi-az-enabled.md) | Amazon Aurora 會將資料副本儲存在單一 AWS 區域中跨多個可用區域的資料庫叢集中。無論資料庫叢集的執行個體是否跨多個可用區域,Aurora 都會存放這些副本。當資料寫入主要資料庫執行個體時,Aurora 同步複寫到跨可用區域,至叢集磁碟區中相關連的六個儲存節點。如此一來可提供資料備援、排除 I/O 凍結,並降低系統備份時的延遲峰值。執行具有高可用性的資料庫執行個體,可以在規劃好的系統維護期間增強可用性,並有助於在失敗和可用區域中斷時保護資料庫。此規則會檢查 Amazon Relational Database Service (RDS) 管理的 Amazon Aurora 叢集上是否啟用異地同步備份複寫。免稅適用於生產前環境。 |
| 4829 | 企業系統安全性、雲端運算、系統可用性 (22.1.23.C.01)。 | [rds-multi-az-support](rds-multi-az-support.md) | Amazon Relational Database Service (RDS) 中的異地同步備份支援可為資料庫執行個體提供增強的可用性和耐用性。佈建多可用區域資料庫執行個體時,Amazon RDS 會自動建立主要資料庫執行個體,並將資料同步複寫到不同可用區域中的待命執行個體。每個可用區域都在其本身不同的實體獨立基礎設施上執行,而且具備高度可靠的設計。如果基礎設施失敗,Amazon RDS 會執行自動容錯移轉到待命執行個體,以便您可以在容錯移轉完成後立即恢復資料庫操作。免稅適用於生產前環境。 |
| 4839 | 企業系統安全性、雲端運算、未經授權的存取 (22.1.24.C.04)。 | [sns-encrypted-kms](sns-encrypted-kms.md) | 為了協助保護靜態資料,請確保您的 Amazon Simple Notification Service (Amazon SNS) 主題需要使用 AWS Key Management Service (AWS KMS) 進行加密。由於已發布訊息中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。當發佈至主題的訊息不包含敏感資料時,即可使用豁免。 |
| 4849 | 企業系統安全性、雲端運算、備份、復原封存和資料復原 (22.1.26.C.01)。 | [dynamodb-in-backup-plan](dynamodb-in-backup-plan.md) | 為了協助處理資料備份程序,請確保您的 Amazon DynamoDB 資料表是 AWS Backup 計畫的一部分。AWS Backup 是全受管備份服務,具有以政策為基礎的備份解決方案。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。已設定補償性復原解決方案時,可使用豁免。 |
| 4849 | 企業系統安全性、雲端運算、備份、復原封存和資料復原 (22.1.26.C.01)。 | [ebs-in-backup-plan](ebs-in-backup-plan.md) | 為了協助處理資料備份程序,請確保您的 Amazon Elastic Block Store (Amazon EBS) 磁碟區是 AWS Backup 計畫的一部分。AWS Backup 是全受管備份服務,具有以政策為基礎的備份解決方案。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。已設定補償性復原解決方案時,可使用豁免。 |
| 4849 | 企業系統安全性、雲端運算、備份、復原封存和資料復原 (22.1.26.C.01)。 | [efs-in-backup-plan](efs-in-backup-plan.md) | 為了協助處理資料備份程序,請確保您的 Amazon Elastic File System (Amazon EFS) 檔案系統是 AWS Backup 計畫的一部分。AWS Backup 是全受管備份服務,具有以政策為基礎的備份解決方案。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。已設定補償性復原解決方案時,可使用豁免。 |
| 4849 | 企業系統安全性、雲端運算、備份、復原封存和資料復原 (22.1.26.C.01)。 | [rds-in-backup-plan](rds-in-backup-plan.md) | 為了協助處理資料備份程序,請確保您的 Amazon Relational Database Service (RDS) 執行個體是 AWS Backup 計畫的一部分。AWS Backup 是全受管備份服務,具有以政策為基礎的備份解決方案。此解決方案可簡化備份管理,讓您達到業務與法規的備份合規要求。已設定補償性復原解決方案時,可使用豁免。 |
| 4849 | 企業系統安全性、雲端運算、備份、復原封存和資料復原 (22.1.26.C.01)。 | [s3-bucket-versioning-enabled](s3-bucket-versioning-enabled.md) | Amazon Simple Storage Service (Amazon S3) 儲存貯體版本控制可協助您將物件的多個變體儲存在同一個 Amazon S3 儲存貯體中。請使用版本控制功能來保留、擷取和還原存放在 Amazon S3 儲存貯體中之每個物件的每個版本。版本控制可協助您輕鬆從意外的使用者動作和應用程式失敗中復原。當只會建立物件的單一變體,或已設定補償性復原解決方案時,即可使用豁免。 |
| 7466 | Public Cloud Security、Data Protection in Public Cloud、Data Accessibility (23.4.10.C.01)。 | [alb-waf-enabled](alb-waf-enabled.md) | 確保在 Elastic Load Balancer (ELB) 上啟用 AWS WAF,以協助保護 Web 應用程式。WAF 有助於保護 Web 應用程式或 API 免於常見的網路攻擊。這些網路惡意探索攻擊可能會影響可用性、危及安全性,或耗用過多環境中的資源。 |
| 7466 | Public Cloud Security、Data Protection in Public Cloud、Data Accessibility (23.4.10.C.01)。 | [api-gw-associated-with-waf](api-gw-associated-with-waf.md) | 此控制項會檢查 API Gateway 階段是否使用 AWS WAF Web 存取控制清單 (ACL)。如果 AWS WAF 區域 Web ACL 未連接至 REST API Gateway 階段,則此控制項會失敗。AWS WAF 是一個 Web 應用程式防火牆,有助於保護 Web 應用程式和 API 不受攻擊,它可讓您設定 ACL,這是一組規則,可根據您定義的可自訂 Web 安全規則和條件來允許、封鎖或計數 Web 請求。確保您的 API Gateway 階段與 AWS WAF Web ACL 相關聯,以協助保護它免受惡意攻擊。如果 API Gateway 是啟用 WAF 的 CloudFront 分佈的原始伺服器,則可以使用豁免。 |
## 範本
```
##################################################################################
#
# Conformance Pack:
# Operational Best Practices for NZISM Extension
#
# This conformance pack helps verify compliance with NZISM requirements.
#
##################################################################################
Resources:
AlbWafEnabled:
Condition: checkAlbWafEnabled
Controls: [ '3562', '4333', '7466' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: alb-waf-enabled
Scope:
ComplianceResourceTypes:
- AWS::ElasticLoadBalancingV2::LoadBalancer
Source:
Owner: AWS
SourceIdentifier: ALB_WAF_ENABLED
Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 20.3.7.C.02[CID:4333], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Data management/Conten..."
ApiGwAssociatedWithWaf:
Condition: checkApiGwAssociatedWithWaf
Controls: [ '3562', '4333', '7466' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: api-gw-associated-with-waf
Source:
Owner: AWS
SourceIdentifier: API_GW_ASSOCIATED_WITH_WAF
Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 20.3.7.C.02[CID:4333], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Data management/Conten..."
ApiGwCacheEnabledAndEncrypted:
Condition: checkApiGwCacheEnabledAndEncrypted
Controls: [ '2082' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: api-gw-cache-enabled-and-encrypted
Scope:
ComplianceResourceTypes:
- AWS::ApiGateway::Stage
Source:
Owner: AWS
SourceIdentifier: API_GW_CACHE_ENABLED_AND_ENCRYPTED
Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements"
DynamodbInBackupPlan:
Condition: checkDynamodbInBackupPlan
Controls: [ '4849' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: dynamodb-in-backup-plan
Source:
Owner: AWS
SourceIdentifier: DYNAMODB_IN_BACKUP_PLAN
Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
EbsInBackupPlan:
Condition: checkEbsInBackupPlan
Controls: [ '4849' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: ebs-in-backup-plan
Source:
Owner: AWS
SourceIdentifier: EBS_IN_BACKUP_PLAN
Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
EfsInBackupPlan:
Condition: checkEfsInBackupPlan
Controls: [ '4849' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: efs-in-backup-plan
Source:
Owner: AWS
SourceIdentifier: EFS_IN_BACKUP_PLAN
Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
RdsClusterMultiAzEnabled:
Condition: checkRdsClusterMultiAzEnabled
Controls: [ '4829' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: rds-cluster-multi-az-enabled
Scope:
ComplianceResourceTypes:
- AWS::RDS::DBCluster
Source:
Owner: AWS
SourceIdentifier: RDS_CLUSTER_MULTI_AZ_ENABLED
Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability"
RdsInBackupPlan:
Condition: checkRdsInBackupPlan
Controls: [ '4849' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: rds-in-backup-plan
Source:
Owner: AWS
SourceIdentifier: RDS_IN_BACKUP_PLAN
Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
RdsMultiAzSupport:
Condition: checkRdsMultiAzSupport
Controls: [ '4829' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: rds-multi-az-support
Scope:
ComplianceResourceTypes:
- AWS::RDS::DBInstance
Source:
Owner: AWS
SourceIdentifier: RDS_MULTI_AZ_SUPPORT
Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability"
S3BucketVersioningEnabled:
Condition: checkS3BucketVersioningEnabled
Controls: [ '4849' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: s3-bucket-versioning-enabled
Scope:
ComplianceResourceTypes:
- AWS::S3::Bucket
Source:
Owner: AWS
SourceIdentifier: S3_BUCKET_VERSIONING_ENABLED
Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
S3DefaultEncryptionKms:
Condition: checkS3DefaultEncryptionKms
Controls: [ '2082' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: s3-default-encryption-kms
Scope:
ComplianceResourceTypes:
- AWS::S3::Bucket
Source:
Owner: AWS
SourceIdentifier: S3_DEFAULT_ENCRYPTION_KMS
Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements"
SnsEncryptedKms:
Condition: checkSnsEncryptedKms
Controls: [ '4839' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: sns-encrypted-kms
Scope:
ComplianceResourceTypes:
- AWS::SNS::Topic
Source:
Owner: AWS
SourceIdentifier: SNS_ENCRYPTED_KMS
Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access"
```