本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
NZISM 3.9 的操作最佳實務 (NZ 轉換)
一致性套件提供一般用途的合規架構,可讓您使用受管或自訂 AWS Config 規則和 AWS Config 修補動作來建立安全、操作或成本最佳化控管檢查。一致性套件 (作為範例範本) 並不是為了完全確保符合特定控管或合規標準而設計。您有責任自行評估服務的使用情形是否符合適用的法律和法規要求。
以下提供紐西蘭政府通訊安全局 (GCSB) 資訊安全手冊 (NZISM) 2025-11 3.9 版
此一致性套件範本範例包含 NZISM 架構控制的映射,該架構是保護安全要求 (PSR) 架構不可或缺的一部分,其中闡述了紐西蘭政府對人員、資訊和實體安全管理的期望。
此一致性套件的基礎部分可以部署到雪梨和全球區域。NZ 轉換部分包含紐西蘭區域目前可用的 Foundation Config 規則子集。Foundation 組件目前不會部署到紐西蘭區域。此一致性套件的延伸部分可以部署到雪梨和紐西蘭區域,以增強 Foundation 和 NZ Transition 部分中提供的 Config 規則。
NZISM 依據 Creative Commons 姓名標示 4.0 紐西蘭授權條款獲得授權,這些授權條款可從 https://creativecommons.org/licenses/by/4.0/
| 控制 ID | 控制描述 | AWS Config 規則 | 指引 |
|---|---|---|---|
| 1661 | 軟體安全、Web 應用程式開發、代理網站內容 (14.5.6.C.01)。 | 此控制會檢查 Amazon CloudFront 分佈是否設定為傳回屬於預設根物件的特定物件。如果 CloudFront 分佈未設定預設根物件,則此控制會失敗。使用者有時可能會請求分佈的根 URL,而不是分佈中的物件。發生這種情況時,指定預設根物件可協助避免暴露 Web 分佈的內容。您必須在 us-east-1 區域中套用此規則。使用範本參數部署 DeployEdgeRules = true | |
| 1667 | 軟體安全性、Web 應用程式開發、Web 應用程式 (14.5.8.C.01)。 | 確保 AWS ACM 發行 X509 憑證,以確保網路完整性受到保護。這些憑證必須有效且未過期。此規則需要 daysToExpiration 的值。值為 30 天。 | |
| 1667 | 軟體安全性、Web 應用程式開發、Web 應用程式 (14.5.8.C.01)。 | 確保 Elastic Load Balancer (ELB) 已設定使用 SSL 或 HTTPS 接聽程式。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| 1847 | 存取控制和密碼、識別、身分驗證和密碼、保護傳輸中的身分驗證資料 (16.1.37.C.01)。 | 為了協助保護傳輸中的資料,請確保 Application Load Balancer 會自動將未加密的 HTTP 請求重新導向至 HTTPS。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| 1847 | 存取控制和密碼、識別、身分驗證和密碼、保護傳輸中的身分驗證資料 (16.1.37.C.01)。 | 此控制可檢查 Amazon CloudFront 分佈是否要求檢視者直接使用 HTTPS,或其是否使用重新導向。如果將 defaultCacheBehavior 或 cacheBehaviors 的 ViewerProtocolPolicy 設定為 allow-all,則此控制會失敗。HTTPS (TLS) 可用來防止潛在攻擊者使用中間人攻擊或類似的攻擊手法來竊聽或操控網路流量。只能允許透過 HTTPS (TLS) 進行加密連線。您必須在 us-east-1 區域中套用此規則。使用範本參數部署 DeployEdgeRules = true | |
| 1847 | 存取控制和密碼、識別、身分驗證和密碼、保護傳輸中的身分驗證資料 (16.1.37.C.01)。 | 此控制項會檢查 Elasticsearch 網域是否已啟用node-to-node加密。如果在網域上停用node-to-node加密,此控制會失敗。HTTPS (TLS) 可用來協助防止潛在攻擊者竊聽或使用person-in-the-middle或類似攻擊操縱網路流量。只能允許透過 HTTPS (TLS) 進行加密連線。啟用 Elasticsearch 網域的node-to-node加密,可確保叢集內通訊在傳輸中加密。 | |
| 1847 | 存取控制和密碼、識別、身分驗證和密碼、保護傳輸中的身分驗證資料 (16.1.37.C.01)。 | 確保 Elastic Load Balancer (ELB) 已設定使用 SSL 或 HTTPS 接聽程式。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| 1998 | 存取控制和密碼、事件記錄和稽核、維護系統管理日誌 (16.6.6.C.02)。 | 您應該使用 CloudWatch Logs 設定 CloudTrail 來監控您的追蹤日誌,並在發生特定活動時收到通知。此規則會檢查 AWS CloudTrail 追蹤是否設定為將日誌傳送至 Amazon CloudWatch logs。 | |
| 1998 | 存取控制和密碼、事件記錄和稽核、維護系統管理日誌 (16.6.6.C.02)。 | AWS CloudTrail 可以透過記錄 AWS 管理主控台動作和 API 呼叫來協助進行不可否認。您可以識別呼叫 AWS 服務的使用者和 AWS 帳戶、呼叫產生的來源 IP 地址,以及呼叫的時間。擷取資料的詳細資訊會顯示在 AWS CloudTrail 記錄內容中。 | |
| 1998 | 存取控制和密碼、事件記錄和稽核、維護系統管理日誌 (16.6.6.C.02)。 | 確保為日誌群組保留最短的事件日誌資料持續時間,以利故障診斷和鑑識調查。如果缺少可用的過去事件日誌資料,就很難重建和識別潛在的惡意事件。最短保留期為 18 個月。 | |
| 2013 | 存取控制和密碼、事件記錄和稽核、要記錄的其他事件 (16.6.10.C.02)。 | 此控制可檢查是否已在 CloudFront 分佈上啟用伺服器存取日誌記錄。如果未針對分佈啟用存取日誌記錄,則此控制會失敗。CloudFront 存取日誌可提供 CloudFront 所收到的每個使用者請求的詳細資訊。每個日誌都包含收到請求的日期和時間、提出請求的檢視者 IP 地址、請求的來源,以及檢視者提出請求的連接埠號碼等資訊。這些日誌適用於安全與存取稽核及鑑識調查等應用程式。您必須在 us-east-1 區域中套用此規則。使用範本參數部署 DeployEdgeRules = true | |
| 2013 | 存取控制和密碼、事件記錄和稽核、要記錄的其他事件 (16.6.10.C.02)。 | AWS CloudTrail 可以透過記錄 AWS 管理主控台動作和 API 呼叫來協助進行不可否認。您可以識別呼叫 AWS 服務的使用者和 AWS 帳戶、呼叫產生的來源 IP 地址,以及呼叫的時間。擷取資料的詳細資訊會顯示在 AWS CloudTrail 記錄內容中。 | |
| 2013 | 存取控制和密碼、事件記錄和稽核、要記錄的其他事件 (16.6.10.C.02)。 | Elastic Load Balancing 活動是環境內的通訊中心點。請確保已啟用 ELB 日誌記錄。收集的資料可提供有關傳送至 ELB 之請求的詳細資訊。每個日誌包含收到請求的時間、用戶端的 IP 地址、延遲、請求路徑和伺服器回應等資訊。 | |
| 2013 | 存取控制和密碼、事件記錄和稽核、要記錄的其他事件 (16.6.10.C.02)。 | 若要協助您在環境內進行日誌記錄和監控,請確定已啟用 Amazon Relational Database Service (Amazon RDS) 日誌記錄。憑藉 Amazon RDS 日誌記錄,您可以擷取連線、中斷連線、查詢或查詢的資料表等事件。 | |
| 2022 | 存取控制和密碼、事件記錄和稽核、事件日誌保護 (16.6.12.C.01)。 | 使用 AWS CloudTrail 日誌檔案驗證來檢查 CloudTrail 日誌的完整性。在 CloudTrail 交付日誌檔後,日誌檔驗證可協助您確定此檔案是否遭到修改、刪除或未經變更。此功能以產業標準演算法建置:SHA-256 適用於進行雜湊,而含 RSA 的 SHA-256 適用於進行數位簽署。這可透過運算方式防止修改、刪除或偽造 CloudTrail 日誌檔案,而無需偵測。 | |
| 2022 | 存取控制和密碼、事件記錄和稽核、事件日誌保護 (16.6.12.C.01)。 | 為了協助保護靜態敏感資料,請確保已針對 Amazon CloudWatch 日誌群組啟用加密功能。 | |
| 2028 | 存取控制和密碼、事件記錄和稽核、事件日誌封存 (16.6.13.C.01)。 | 確保為日誌群組保留最短的事件日誌資料持續時間,以利故障診斷和鑑識調查。如果缺少可用的過去事件日誌資料,就很難重建和識別潛在的惡意事件。最短保留期為 18 個月。 | |
| 2082 | 密碼編譯、密碼編譯基礎、降低儲存和實體傳輸需求 (17.1.53.C.04)。 | 由於可能存在敏感資料,且為了協助保護靜態資料,請確保已為您的 AWS CloudTrail 追蹤啟用加密。 | |
| 2082 | 密碼編譯、密碼編譯基礎、降低儲存和實體傳輸需求 (17.1.53.C.04)。 | 為了協助保護靜態資料,請確保已針對 Amazon Elastic Block Store (Amazon EBS) 磁碟區啟用加密功能。由於這些磁碟區中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| 2082 | 密碼編譯、密碼編譯基礎、降低儲存和實體傳輸需求 (17.1.53.C.04)。 | 由於可能存在敏感資料,因此為了保護靜態資料,請確保已針對 Amazon Elastic File System (EFS) 啟用加密功能。 | |
| 2082 | 密碼編譯、密碼編譯基礎、降低儲存和實體傳輸需求 (17.1.53.C.04)。 | 此控制項會檢查 Elasticsearch 網域是否已啟用encryption-at-rest組態。如果未啟用靜態加密,則檢查會失敗。為了為敏感資料增加一層安全性,您應該將 Elasticsearch Service 網域設定為靜態加密。當您設定靜態資料的加密時,Amazon Key Management Service (KMS) 會存放和管理加密金鑰。為了執行加密,AWS KMS 使用進階加密標準演算法搭配 256 位元金鑰 (AES-256)。 | |
| 2082 | 密碼編譯、密碼編譯基礎、降低儲存和實體傳輸需求 (17.1.53.C.04)。 | 由於可能存在敏感資料,因此為了保護靜態資料,請確保已針對 Amazon Elastic Block Store (Amazon EBS) 磁碟區啟用加密功能。 | |
| 2082 | 密碼編譯、密碼編譯基礎、降低儲存和實體傳輸需求 (17.1.53.C.04)。 | 確保已針對 Amazon Relational Database Service (Amazon RDS) 快照啟用加密功能。由於可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| 2082 | 密碼編譯、密碼編譯基礎、降低儲存和實體傳輸需求 (17.1.53.C.04)。 | 為了協助保護靜態資料,請確保已針對 Amazon Relational Database Service (Amazon RDS) 執行個體啟用加密功能。由於 Amazon RDS 執行個體中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| 2082 | 密碼編譯、密碼編譯基礎、降低儲存和實體傳輸需求 (17.1.53.C.04)。 | 為了協助保護靜態資料,請確保已針對 Amazon Simple Storage Service (Amazon S3) 儲存貯體啟用加密功能。由於 Amazon S3 儲存貯體中可能存在靜態敏感資料,因此請啟用加密以協助保護該資料。 | |
| 2090 | 密碼編譯、密碼編譯基礎、資訊和系統保護 (17.1.55.C.02)。 | 為了協助保護傳輸中的資料,請確保 Application Load Balancer 會自動將未加密的 HTTP 請求重新導向至 HTTPS。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| 2090 | 密碼編譯、密碼編譯基礎、資訊和系統保護 (17.1.55.C.02)。 | 確保 Elastic Load Balancer (ELB) 已設定使用 SSL 或 HTTPS 接聽程式。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| 2090 | 密碼編譯、密碼編譯基礎、資訊和系統保護 (17.1.55.C.02)。 | 確保 Amazon Redshift 叢集需要 TLS/SSL 加密才能連線到 SQL 用戶端。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| 2598 | 密碼編譯、Transport Layer Security、使用 TLS (17.4.16.C.01)。 | 為協助保護傳輸中的資料,請確定您的 Classic ElasticLoadBalancer SSL 接聽程式使用自訂的安全政策。這些政策可提供各種高強度的密碼編譯演算法,以協助確保系統之間的加密網路通訊。此規則需要您設定自訂的 SSL 接聽程式安全政策。安全政策為:Protocol-TLSv1.2,ECDHE-ECDSA-AES256-GCM-SHA384. | |
| 2600 | 密碼編譯、Transport Layer Security、使用 TLS (17.4.16.C.02)。 | 為協助保護傳輸中的資料,請確定您的 Classic ElasticLoadBalancer SSL 接聽程式使用自訂的安全政策。這些政策可提供各種高強度的密碼編譯演算法,以協助確保系統之間的加密網路通訊。此規則需要您設定自訂的 SSL 接聽程式安全政策。預設安全政策為:Protocol-TLSv1.2,ECDHE-ECDSA-AES256-GCM-SHA384. | |
| 2726 | 密碼編譯、Secure Shell、自動遠端存取 (17.5.8.C.02)。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可以透過向 AWS 資源提供輸入和輸出網路流量的狀態篩選,協助管理網路存取。不允許資源從 0.0.0.0/0 到連接埠 22 的輸入 (或遠端) 流量,有助於限制遠端存取。 | |
| 3021 | 密碼編譯、金鑰管理、KMPs(17.9.25.C.01)。 | Amazon Key Management Service (KMS) 可讓客戶輪換備份金鑰,這是存放在 AWS KMS 中的金鑰材料,並與 CMK 的金鑰 ID 繫結。它是用來執行加密操作的備份金鑰,例如加密和解密。自動化輪換金鑰目前會保留之前所有的備份金鑰,以便透明解密加密的資料。輪換加密金鑰有助於降低被盜用金鑰造成的可能影響,因為可能公開的舊金鑰無法存取使用新金鑰加密的資料。 | |
| 3205 | 網路安全、網路管理、限制網路存取 (18.1.13.C.02)。 | 確保 Amazon Elastic Compute Cloud (Amazon EC2) 安全群組上的常見連接埠受到限制,以管理對 AWS 雲端中資源的存取。如果不將連接埠的存取限制為信任來源,可能會導致系統的可用性、完整性和機密性遭到攻擊。透過限制從網際網路 (0.0.0.0/0) 存取安全群組內的資源,可以控制內部系統的遠端存取。授權的網際網路連接埠清單為:僅限 443 | |
| 3449 | 產品安全、產品修補和更新、修補產品中的漏洞 (12.4.4.C.02)。 | 此規則可確保 Amazon Redshift 叢集使用貴組織的偏好設定。具體而言,即具有資料庫偏好的維護時段和自動快照保留期。此規則會將 allowVersionUpgrade 設定為 TRUE。 | |
| 3452 | 產品安全、產品修補和更新、修補產品中的漏洞 (12.4.4.C.05)。 | 此控制項會檢查是否已為 RDS 資料庫執行個體啟用自動次要版本升級。啟用自動次要版本升級可確保已安裝關聯式資料庫管理系統 (RDBMS) 的最新次要版本更新。這些升級可能包括安全性修補程式和錯誤修正。隨時掌握修補程式安裝的最新資訊,是保護系統安全的重要步驟。 | |
| 3453 | 產品安全、產品修補和更新、修補產品中的漏洞 (12.4.4.C.06)。 | 此規則可確保 Amazon Redshift 叢集使用貴組織的偏好設定。具體而言,即具有資料庫偏好的維護時段和自動快照保留期。此規則會將 allowVersionUpgrade 設定為 TRUE。 | |
| 3562 | 閘道安全性、閘道、閘道組態 (19.1.12.C.01)。 | 此控制項會檢查 CloudFront 分佈是否與 AWS WAF 或 AWS WAFv2 Web ACLs相關聯。如果分佈未與 Web ACL 相關聯,則控制項會失敗。AWS WAF 是一個 Web 應用程式防火牆,有助於保護 Web 應用程式和 API 不受攻擊,其可讓您設定一組稱為 Web 存取控制清單 (Web ACL) 的規則,該組規則可根據您定義的可自訂 Web 安全規則與條件來允許、封鎖或計數 Web 請求。確保您的 CloudFront 分佈與 AWS WAF Web ACL 相關聯,以協助保護它免受惡意攻擊。您必須在 us-east-1 區域中套用此規則。使用範本參數部署 DeployEdgeRules = true | |
| 3562 | 閘道安全性、閘道、閘道組態 (19.1.12.C.01)。 | 確保無法公開存取 AWS Database Migration Service (DMS) 複寫執行個體,藉此管理對 AWS 雲端的存取。DMS 複寫執行個體可能包含敏感資訊,此類帳戶需要存取控制。 | |
| 3562 | 閘道安全性、閘道、閘道組態 (19.1.12.C.01)。 | 確保啟用執行個體中繼資料服務第 2 版 (IMDSv2) 方法可協助保護 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體中繼資料的存取和控制。IMDSv2 方法使用工作階段型控制項。透過 IMDSv2,您可以實作這些控制,限制執行個體中繼資料的變更。 | |
| 3562 | 閘道安全性、閘道、閘道組態 (19.1.12.C.01)。 | 確保無法公開存取 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,藉此管理對 AWS 雲端的存取。Amazon EC2 執行個體可能包含敏感資訊,此類帳戶需要存取控制。 | |
| 3562 | 閘道安全性、閘道、閘道組態 (19.1.12.C.01)。 | 在 Amazon Virtual Private Cloud (Amazon VPC) 內部署 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,以在 Amazon VPC 內的執行個體與其他服務之間進行安全通訊,不需要網際網路閘道、NAT 裝置或 VPN 連線。在 AWS 雲端中保持所有流量的安全。相較於使用公有端點的網域,位於 Amazon VPC 內的網域因為使用邏輯隔離而更加安全。將 Amazon EC2 執行個體指派給 Amazon VPC 以正確管理存取權。 | |
| 3562 | 閘道安全性、閘道、閘道組態 (19.1.12.C.01)。 | 此控制項會檢查 Elasticsearch 網域是否位於虛擬私有雲端 (VPC) 中。它不會評估 VPC 子網路路由組態來判斷公有存取。您應該確保 Elasticsearch 網域未連接到公有子網路。部署在 VPC 內的 Elasticsearch 網域可以透過私有 AWS 網路與 VPC 資源通訊,而無需周遊公有網際網路。此組態透過限制對傳輸中資料的存取來增加安全狀態。VPCs 提供多種網路控制,以安全存取 Elasticsearch 網域,包括網路 ACL 和安全群組 | |
| 3562 | 閘道安全性、閘道、閘道組態 (19.1.12.C.01)。 | 透過確保 Amazon Relational Database Service (Amazon RDS) 執行個體不公開,管理對 AWS 雲端中資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊,此類帳戶需要原則和存取控制。 | |
| 3562 | 閘道安全性、閘道、閘道組態 (19.1.12.C.01)。 | 透過確保 Amazon Redshift 叢集不公開,管理對 AWS 雲端中資源的存取。Amazon Redshift 叢集可能包含敏感資訊和原則,此類帳戶需要原則和存取控制。 | |
| 3562 | 閘道安全性、閘道、閘道組態 (19.1.12.C.01)。 | 確保無法公開存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,藉此管理對 AWS 雲端中資源的存取。此規則可透過防止公開存取,避免未經授權的遠端使用者存取敏感資料。此規則會將 ignorePublicAcls 設定為 TRUE、將 blockPublicPolicy 設定為 TRUE、將 blockPublicAcls 設定為 TRUE,並將 restrictPublicBuckets 設定為 TRUE。 | |
| 3562 | 閘道安全性、閘道、閘道組態 (19.1.12.C.01)。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可以透過提供輸入和輸出網路流量到 AWS 資源的狀態篩選,協助管理網路存取。限制預設安全群組上的所有流量有助於限制對 AWS 資源的遠端存取。 | |
| 3562 | 閘道安全性、閘道、閘道組態 (19.1.12.C.01)。 | 虛擬私有雲端 (VPC) 流程日誌提供有關進出 Amazon VPC 網路介面之 IP 流量的詳細資訊記錄。根據預設,流程日誌記錄包含 IP 流程不同元件的值,包括來源、目標和通訊協定。 | |
| 3623 | 閘道安全性、閘道、非軍事區域 (19.1.14.C.02)。 | 此控制項會檢查 Elasticsearch 網域是否位於虛擬私有雲端 (VPC) 中。它不會評估 VPC 子網路路由組態來判斷公有存取。您應該確保 Elasticsearch 網域未連接到公有子網路。部署在 VPC 內的 Elasticsearch 網域可以透過私有 AWS 網路與 VPC 資源通訊,而無需周遊公有網際網路。此組態透過限制對傳輸中資料的存取來增加安全狀態。VPCs 提供多種網路控制,以安全存取 Elasticsearch 網域,包括網路 ACL 和安全群組 | |
| 3623 | 閘道安全性、閘道、非軍事區域 (19.1.14.C.02)。 | 透過確保 Amazon Relational Database Service (Amazon RDS) 執行個體不公開,管理對 AWS 雲端中資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊,此類帳戶需要原則和存取控制。 | |
| 3623 | 閘道安全性、閘道、非軍事區域 (19.1.14.C.02)。 | 透過確保 Amazon Redshift 叢集不公開,管理對 AWS 雲端中資源的存取。Amazon Redshift 叢集可能包含敏感資訊和原則,此類帳戶需要原則和存取控制。 | |
| 3875 | 網路安全、入侵偵測和預防、事件管理和相互關聯 (18.4.12.C.01)。 | AWS Security Hub 有助於監控未經授權的人員、連線、裝置和軟體。AWS Security Hub 會從多個 AWS 服務彙總、組織和排定安全提醒或調查結果的優先順序。這類服務包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager 和 AWS 合作夥伴解決方案。 | |
| 4441 | 資料管理、資料庫、資料庫檔案 (20.4.4.C.02.) | 此控制項會檢查 Elasticsearch 網域是否已啟用encryption-at-rest組態。如果未啟用靜態加密,則檢查會失敗。為了為敏感資料增加一層安全性,您應該將 Elasticsearch Service 網域設定為靜態加密。當您設定靜態資料的加密時,Amazon Key Management Service (KMS) 會存放和管理加密金鑰。為了執行加密,AWS KMS 使用進階加密標準演算法搭配 256 位元金鑰 (AES-256)。 | |
| 4441 | 資料管理、資料庫、資料庫檔案 (20.4.4.C.02.) | 若要協助您在環境內進行日誌記錄和監控,請確定已啟用 Amazon Relational Database Service (Amazon RDS) 日誌記錄。藉由 Amazon RDS 日誌記錄,您可以擷取連線、中斷連線、查詢或查詢的資料表等事件。 | |
| 4441 | 資料管理、資料庫、資料庫檔案 (20.4.4.C.02.) | 確保已針對 Amazon Relational Database Service (Amazon RDS) 快照啟用加密功能。由於可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| 4441 | 資料管理、資料庫、資料庫檔案 (20.4.4.C.02.) | 透過確保 Amazon Relational Database Service (Amazon RDS) 執行個體不公開,管理對 AWS 雲端中資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊和原則,此類帳戶需要原則和存取控制。 | |
| 4441 | 資料管理、資料庫、資料庫檔案 (20.4.4.C.02.) | 為了協助保護靜態資料,請確保已針對 Amazon Relational Database Service (Amazon RDS) 執行個體啟用加密功能。由於 Amazon RDS 執行個體中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| 4441 | 資料管理、資料庫、資料庫檔案 (20.4.4.C.02.) | 為了保護靜態資料,請確保已針對 Amazon Redshift 叢集啟用加密功能。您還必須確保已在 Amazon Redshift 叢集上部署必要的組態。應啟用稽核日誌記錄,以提供資料庫中連線和使用者活動的相關資訊。此規則會將 clusterDbEncrypted 設定為 TRUE,並將 loggingEnabled 設定為 TRUE。 | |
| 4445 | 資料管理、資料庫、責任 (20.4.5.C.02.) | 若要協助您在環境內進行日誌記錄和監控,請確定已啟用 Amazon Relational Database Service (Amazon RDS) 日誌記錄。藉由 Amazon RDS 日誌記錄,您可以擷取連線、中斷連線、查詢或查詢的資料表等事件。 | |
| 4445 | 資料管理、資料庫、責任 (20.4.5.C.02.) | 為了保護靜態資料,請確保已針對 Amazon Redshift 叢集啟用加密功能。您還必須確保已在 Amazon Redshift 叢集上部署必要的組態。應啟用稽核日誌記錄,以提供資料庫中連線和使用者活動的相關資訊。此規則會將 clusterDbEncrypted 設定為 TRUE,並將 loggingEnabled 設定為 TRUE。 | |
| 4829 | 企業系統安全性、雲端運算、系統可用性 (22.1.23.C.01)。 | Amazon DynamoDB Auto Scaling 使用 AWS Application Auto Scaling 服務來調整佈建的輸送量容量,以自動回應實際的流量模式。這可讓資料表或全域次要索引增加其佈建的讀取/寫入容量,不需限流即可處理突然增加的流量。 | |
| 4829 | 企業系統安全性、雲端運算、系統可用性 (22.1.23.C.01)。 | 為 Elastic Load Balancer (ELB) 啟用跨區域負載平衡,以利維持足夠的容量和可用性。跨區域負載平衡可減少在每個啟用的可用區域中維護同等數量執行個體的需求。還可以改善應用程式的能力,以處理一或多個執行個體遺失的狀況。 | |
| 4838 | 企業系統安全性、雲端運算、未經授權的存取 (22.1.24.C.03)。 | 收集 Simple Storage Service (Amazon S3) 資料事件有助於偵測任何異常活動。詳細資訊包括存取 Amazon S3 儲存貯體的 AWS 帳戶資訊、IP 地址和事件時間。 | |
| 4838 | 企業系統安全性、雲端運算、未經授權的存取 (22.1.24.C.03)。 | 確保 Amazon Elastic Block Store (EBS) 快照不可公開還原,以管理對 AWS 雲端的存取。EBS 磁碟區快照可能包含敏感資訊,此類帳戶需要存取控制。 | |
| 4838 | 企業系統安全性、雲端運算、未經授權的存取 (22.1.24.C.03)。 | 確保無法公開存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,藉此管理對 AWS 雲端中資源的存取。此規則可透過防止公開存取,避免未經授權的遠端使用者存取敏感資料。此規則會將 ignorePublicAcls 設定為 TRUE、將 blockPublicPolicy 設定為 TRUE、將 blockPublicAcls 設定為 TRUE,並將 restrictPublicBuckets 設定為 TRUE。 | |
| 4838 | 企業系統安全性、雲端運算、未經授權的存取 (22.1.24.C.03)。 | 僅允許授權使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理對 AWS 雲端中資源的存取。存取管理應與資料的分類一致。 | |
| 4838 | 企業系統安全性、雲端運算、未經授權的存取 (22.1.24.C.03)。 | 僅允許授權使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理對 AWS 雲端中資源的存取。存取管理應與資料的分類一致。 | |
| 4839 | 企業系統安全性、雲端運算、未經授權的存取 (22.1.24.C.04)。 | 確保已針對 Amazon DynamoDB 資料表啟用加密功能。由於這些資料表中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。根據預設,DynamoDB 資料表會使用 AWS 擁有的 Amazon Key Management Service (KMS) 金鑰加密。 | |
| 4839 | 企業系統安全性、雲端運算、未經授權的存取 (22.1.24.C.04)。 | 由於可能存在敏感資料,因此為了保護靜態資料,請確保已針對 Amazon Elastic File System (EFS) 啟用加密功能。 | |
| 4839 | 企業系統安全性、雲端運算、未經授權的存取 (22.1.24.C.04)。 | 此控制項會檢查 Elasticsearch 網域是否已啟用encryption-at-rest組態。如果未啟用靜態加密,則檢查會失敗。為了為敏感資料增加一層安全性,您應該將 Elasticsearch Service 網域設定為靜態加密。當您設定靜態資料的加密時,Amazon Key Management Service (KMS) 會存放和管理加密金鑰。為了執行加密,AWS KMS 使用進階加密標準演算法搭配 256 位元金鑰 (AES-256)。 | |
| 4839 | 企業系統安全性、雲端運算、未經授權的存取 (22.1.24.C.04)。 | 此控制項會檢查 Elasticsearch 網域是否已啟用node-to-node加密。如果在網域上停用node-to-node加密,此控制會失敗。HTTPS (TLS) 可用來協助防止潛在攻擊者使用person-in-the-middle或類似攻擊來竊聽或操控網路流量。只能允許透過 HTTPS (TLS) 進行加密連線。啟用 Elasticsearch 網域的node-to-node加密,可確保叢集內通訊在傳輸中加密。 | |
| 4839 | 企業系統安全性、雲端運算、未經授權的存取 (22.1.24.C.04)。 | 確保 Elastic Load Balancer (ELB) 已設定使用 SSL 或 HTTPS 接聽程式。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| 4839 | 企業系統安全性、雲端運算、未經授權的存取 (22.1.24.C.04)。 | 由於可能存在敏感資料,因此為了保護靜態資料,請確保已針對 Amazon Elastic Block Store (Amazon EBS) 磁碟區啟用加密功能。 | |
| 4839 | 企業系統安全性、雲端運算、未經授權的存取 (22.1.24.C.04)。 | 確保已針對 Amazon Relational Database Service (Amazon RDS) 快照啟用加密功能。由於可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| 4839 | 企業系統安全性、雲端運算、未經授權的存取 (22.1.24.C.04)。 | 為了協助保護靜態資料,請確保已針對 Amazon Relational Database Service (Amazon RDS) 執行個體啟用加密功能。由於 Amazon RDS 執行個體中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| 4839 | 企業系統安全性、雲端運算、未經授權的存取 (22.1.24.C.04)。 | 為了保護靜態資料,請確保已針對 Amazon Redshift 叢集啟用加密功能。您還必須確保已在 Amazon Redshift 叢集上部署必要的組態。應啟用稽核日誌記錄,以提供資料庫中連線和使用者活動的相關資訊。此規則會將 clusterDbEncrypted 設定為 TRUE,並將 loggingEnabled 設定為 TRUE。 | |
| 4839 | 企業系統安全性、雲端運算、未經授權的存取 (22.1.24.C.04)。 | 確保 Amazon Redshift 叢集需要 TLS/SSL 加密才能連線到 SQL 用戶端。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| 4839 | 企業系統安全性、雲端運算、未經授權的存取 (22.1.24.C.04)。 | 為協助保護傳輸中的資料,請確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體要求使用 Secure Socket Layer (SSL)。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| 4839 | 企業系統安全性、雲端運算、未經授權的存取 (22.1.24.C.04)。 | 為了協助保護靜態資料,請確保已啟用 AWS Secrets Manager 秘密的 AWS Key Management Service AWS Secrets Manager KMS) 加密。由於 Secrets Manager 密碼中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| 4849 | 企業系統安全性、雲端運算、備份、復原封存和資料復原 (22.1.26.C.01)。 | Amazon Relational Database Service (RDS) 的備份功能會建立資料庫和交易日誌的備份。Amazon RDS 會自動建立資料庫執行個體的儲存磁碟區快照,並備份整個資料庫執行個體。系統可讓您設定特定的保留期間,以符合您的恢復能力要求。 | |
| 4849 | 企業系統安全性、雲端運算、備份、復原封存和資料復原 (22.1.26.C.01)。 | 啟用此規則可檢查資訊是否已備份。這也能確保 Amazon DynamoDB 啟用了時間點復原,藉以維護備份。復原會維護資料表在過去 35 天內的連續備份。 | |
| 4849 | 企業系統安全性、雲端運算、備份、復原封存和資料復原 (22.1.26.C.01)。 | 啟用自動備份後,Amazon ElastiCache 每天都會建立叢集備份。備份保留天數由貴組織指定。自動備份可協助防止資料遺失。如果發生失敗,您可以建立新叢集,從最新的備份還原您的資料。 | |
| 4849 | 企業系統安全性、雲端運算、備份、復原封存和資料復原 (22.1.26.C.01)。 | 確保 Amazon Relational Database Service (RDS) 執行個體已啟用刪除保護。使用刪除保護來防止 RDS 執行個體意外或惡意刪除,這可能會導致您的應用程式失去可用性。 | |
| 4849 | 企業系統安全性、雲端運算、備份、復原封存和資料復原 (22.1.26.C.01)。 | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體已啟用刪除保護。使用刪除保護可防止意外或惡意刪除 Amazon RDS 執行個體,從而導致應用程式喪失可用性。 | |
| 4849 | 企業系統安全性、雲端運算、備份、復原封存和資料復原 (22.1.26.C.01)。 | 請確保 Amazon Redshift 叢集具有自動快照,以利處理資料備份。當叢集的自動快照已啟用時,Redshift 將定期為該叢集拍攝快照。Redshift 預設每隔 8 個小時或當每節點資料變更達 5 GB 時建立一次快照,以先到者為準。 | |
| 6860 | 存取控制和密碼、特殊權限存取管理、監控和檢閱 (16.4.35.C.02)。 | 您應該使用 CloudWatch Logs 設定 CloudTrail 來監控您的追蹤日誌,並在發生特定活動時收到通知。此規則會檢查 AWS CloudTrail 追蹤是否設定為將日誌傳送至 Amazon CloudWatch logs。 | |
| 6860 | 存取控制和密碼、特殊權限存取管理、監控和檢閱 (16.4.35.C.02)。 | AWS CloudTrail 可以透過記錄 AWS 管理主控台動作和 API 呼叫來協助進行不可否認。您可以識別呼叫 AWS 服務的使用者和 AWS 帳戶、呼叫產生的來源 IP 地址,以及呼叫的時間。擷取資料的詳細資訊會顯示在 AWS CloudTrail 記錄內容中。 | |
| 6861 | 存取控制和密碼、特殊權限存取管理、監控和檢閱 (16.4.35.C.03)。 | 此規則透過檢查是否啟用多個設定,協助確保使用 AWS CloudTrail 建議的 AWS 安全最佳實務。這包括在多個區域中使用日誌加密、日誌驗證和啟用 AWS CloudTrail。 | |
| 7466 | Public Cloud Security、Data Protection in Public Cloud、Data Accessibility (23.4.10.C.01)。 | 確保無法公開存取 AWS Database Migration Service (DMS) 複寫執行個體,藉此管理對 AWS 雲端的存取。DMS 複寫執行個體可能包含敏感資訊,此類帳戶需要存取控制。 | |
| 7466 | Public Cloud Security、Data Protection in Public Cloud、Data Accessibility (23.4.10.C.01)。 | 確保啟用執行個體中繼資料服務第 2 版 (IMDSv2) 方法可協助保護 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體中繼資料的存取和控制。IMDSv2 方法使用工作階段型控制項。透過 IMDSv2,您可以實作這些控制,限制執行個體中繼資料的變更。 | |
| 7466 | Public Cloud Security、Data Protection in Public Cloud、Data Accessibility (23.4.10.C.01)。 | 確保無法公開存取 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,藉此管理對 AWS 雲端的存取。Amazon EC2 執行個體可能包含敏感資訊,此類帳戶需要存取控制。 | |
| 7466 | Public Cloud Security、Data Protection in Public Cloud、Data Accessibility (23.4.10.C.01)。 | 在 Amazon Virtual Private Cloud (Amazon EC2) 執行個體,以啟用執行個體與 Amazon VPC 內其他服務之間的安全通訊,而不需要網際網路閘道、NAT 裝置或 VPN 連接。在 AWS 雲端中保持所有流量的安全。相較於使用公有端點的網域,位於 Amazon VPC 內的網域因為提供邏輯隔離,所以多了一層安全防護。將 Amazon EC2 執行個體指派給 Amazon VPC 以正確管理存取權。 | |
| 7466 | Public Cloud Security、Data Protection in Public Cloud、Data Accessibility (23.4.10.C.01)。 | 此控制項會檢查 Elasticsearch 網域是否位於虛擬私有雲端 (VPC) 中。它不會評估 VPC 子網路路由組態來判斷公有存取。您應該確保 Elasticsearch 網域未連接到公有子網路。部署在 VPC 內的 Elasticsearch 網域可以透過私有 AWS 網路與 VPC 資源通訊,而無需周遊公有網際網路。此組態透過限制對傳輸中資料的存取來增加安全狀態。VPCs 提供多種網路控制,以安全存取 Elasticsearch 網域,包括網路 ACL 和安全群組 | |
| 7466 | Public Cloud Security、Data Protection in Public Cloud、Data Accessibility (23.4.10.C.01)。 | 確保 Amazon Relational Database Service (Amazon RDS) 執行個體不公開,以管理對 AWS 雲端中資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊,此類帳戶需要原則和存取控制。 | |
| 7466 | Public Cloud Security、Data Protection in Public Cloud、Data Accessibility (23.4.10.C.01)。 | 確保 Amazon Redshift 叢集不公開,以管理對 AWS 雲端中資源的存取。Amazon Redshift 叢集可能包含敏感資訊和原則,此類帳戶需要原則和存取控制。 | |
| 7466 | Public Cloud Security、Data Protection in Public Cloud、Data Accessibility (23.4.10.C.01)。 | 確保無法公開存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,藉此管理對 AWS 雲端中資源的存取。此規則可透過防止公開存取,避免未經授權的遠端使用者存取敏感資料。此規則會將 ignorePublicAcls 設定為 TRUE、將 blockPublicPolicy 設定為 TRUE、將 blockPublicAcls 設定為 TRUE,並將 restrictPublicBuckets 設定為 TRUE。 | |
| 7466 | Public Cloud Security、Data Protection in Public Cloud、Data Accessibility (23.4.10.C.01)。 | 確保 AWS Systems Manager (SSM) 文件不是公有文件,因為這可能會允許意外存取您的 SSM 文件。公有 SSM 文件可能會公開帳戶、資源和內部程序的相關資訊。 | |
| 7466 | Public Cloud Security、Data Protection in Public Cloud、Data Accessibility (23.4.10.C.01)。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可以透過提供輸入和輸出網路流量到 AWS 資源的狀態篩選,協助管理網路存取。限制預設安全群組上的所有流量有助於限制對 AWS 資源的遠端存取。 | |
| 7466 | Public Cloud Security、Data Protection in Public Cloud、Data Accessibility (23.4.10.C.01)。 | 虛擬私有雲端 (VPC) 流程日誌提供有關進出 Amazon VPC 網路介面之 IP 流量的詳細資訊記錄。根據預設,流程日誌記錄包含 IP 流程不同元件的值,包括來源、目標和通訊協定。 | |
| 7496 | 公有雲端安全、記錄和警示、記錄需求 (23.5.11.C.01)。 | 使用 AWS CloudTrail 日誌檔案驗證來檢查 CloudTrail 日誌的完整性。在 CloudTrail 交付日誌檔後,日誌檔驗證可協助您確定此檔案是否遭到修改、刪除或未經變更。此功能以產業標準演算法建置:SHA-256 適用於進行雜湊,而含 RSA 的 SHA-256 適用於進行數位簽署。這可透過運算方式防止修改、刪除或偽造 CloudTrail 日誌檔案,而無需偵測。 | |
| 7496 | 公有雲端安全、記錄和警示、記錄需求 (23.5.11.C.01)。 | 此控制可檢查是否已在 CloudFront 分佈上啟用伺服器存取日誌記錄。如果未針對分佈啟用存取日誌記錄,則此控制會失敗。CloudFront 存取日誌可提供 CloudFront 所收到的每個使用者請求的詳細資訊。每個日誌都包含收到請求的日期和時間、提出請求的檢視者 IP 地址、請求的來源,以及檢視者提出請求的連接埠號碼等資訊。這些日誌適用於安全與存取稽核及鑑識調查等應用程式。您必須在 us-east-1 區域中套用此規則。 | |
| 7496 | 公有雲端安全、記錄和警示、記錄需求 (23.5.11.C.01)。 | AWS CloudTrail 可以透過記錄 AWS 管理主控台動作和 API 呼叫來協助進行不可否認。您可以識別呼叫 AWS 服務的使用者和 AWS 帳戶、呼叫產生的來源 IP 地址,以及呼叫的時間。擷取資料的詳細資訊會顯示在 AWS CloudTrail 記錄內容中。 | |
| 7496 | 公有雲端安全、記錄和警示、記錄需求 (23.5.11.C.01)。 | 為了協助保護靜態敏感資料,請確保已針對 Amazon CloudWatch 日誌群組啟用加密功能。 | |
| 7496 | 公有雲端安全、記錄和警示、記錄需求 (23.5.11.C.01)。 | Elastic Load Balancing 活動是環境內的通訊中心點。請確保已啟用 ELB 日誌記錄。收集的資料可提供有關傳送至 ELB 之請求的詳細資訊。每個日誌包含收到請求的時間、用戶端的 IP 地址、延遲、請求路徑和伺服器回應等資訊。 | |
| 7496 | 公有雲端安全、記錄和警示、記錄需求 (23.5.11.C.01)。 | 若要協助您在環境內進行日誌記錄和監控,請確定已啟用 Amazon Relational Database Service (Amazon RDS) 日誌記錄。憑藉 Amazon RDS 日誌記錄,您可以擷取連線、中斷連線、查詢或查詢的資料表等事件。 | |
| 7545 | 存取控制和密碼、識別、身分驗證和身分驗證、密碼和政策 (16.1.31.C.02)。 | 尚未實作多重要素驗證 (MFA) 或無密碼身分驗證的系統需要年度密碼變更。由於此一致性套件包含iam-user-mfa-enabled Config 規則,因此此控制項可確保每三年變更一次密碼。 | |
| 7546 | 存取控制和密碼、識別、身分驗證和身分驗證、密碼和政策 (16.1.31.C.03)。 | 確保密碼長度下限為 16 個字元 (例如四個單字)。密碼必須長、強且唯一。不會強制執行明確的複雜性要求 (例如數字或特殊字元),但密碼必須是唯一的或隨機的,並且可能包含特殊字元和數字來達成此目的。 |
範本
################################################################################## # # Conformance Pack: # Operational Best Practices for NZISM NZ Transition # # This conformance pack helps verify compliance with NZISM requirements. # ################################################################################## Resources: AcmCertificateExpirationCheck: Controls: [ '1667' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: acm-certificate-expiration-check InputParameters: daysToExpiration: '30' Scope: ComplianceResourceTypes: - AWS::ACM::Certificate Source: Owner: AWS SourceIdentifier: ACM_CERTIFICATE_EXPIRATION_CHECK Description: "SHOULD 14.5.8.C.01[CID:1667]| Software security/Web Application Development/Web applications" AlbHttpToHttpsRedirectionCheck: Controls: [ '1847', '2090' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: alb-http-to-https-redirection-check Source: Owner: AWS SourceIdentifier: ALB_HTTP_TO_HTTPS_REDIRECTION_CHECK Description: "MUST 16.1.37.C.01[CID:1847], MUST 17.1.55.C.02[CID:2090]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in t..." CloudTrailCloudWatchLogsEnabled: Controls: [ '1998', '6860' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloud-trail-cloud-watch-logs-enabled Source: Owner: AWS SourceIdentifier: CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED Description: "SHOULD 16.6.6.C.02[CID:1998], MUST 16.4.35.C.02[CID:6860]| Access Control and Passwords: (Event Logging and Auditing/Maintaining system management logs and Privileged..." CloudTrailEncryptionEnabled: Controls: [ '2082' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloud-trail-encryption-enabled Source: Owner: AWS SourceIdentifier: CLOUD_TRAIL_ENCRYPTION_ENABLED Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements" CloudTrailLogFileValidationEnabled: Controls: [ '2022', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloud-trail-log-file-validation-enabled Source: Owner: AWS SourceIdentifier: CLOUD_TRAIL_LOG_FILE_VALIDATION_ENABLED Description: "MUST 16.6.12.C.01[CID:2022], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Event log protection and Public Cloud Security/Loggi..." CloudfrontAccesslogsEnabled: Condition: IsEdge Controls: [ '2013', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudfront-accesslogs-enabled Source: Owner: AWS SourceIdentifier: CLOUDFRONT_ACCESSLOGS_ENABLED Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..." CloudfrontAssociatedWithWaf: Condition: IsEdge Controls: [ '3562' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudfront-associated-with-waf Source: Owner: AWS SourceIdentifier: CLOUDFRONT_ASSOCIATED_WITH_WAF Description: "MUST 19.1.12.C.01[CID:3562]| Gateway security/Gateways/Configuration of gateways" CloudfrontDefaultRootObjectConfigured: Condition: IsEdge Controls: [ '1661' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudfront-default-root-object-configured Source: Owner: AWS SourceIdentifier: CLOUDFRONT_DEFAULT_ROOT_OBJECT_CONFIGURED Description: "SHOULD 14.5.6.C.01[CID:1661]| Software security/Web Application Development/Agency website content" CloudfrontViewerPolicyHttps: Condition: IsEdge Controls: [ '1847' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudfront-viewer-policy-https Source: Owner: AWS SourceIdentifier: CLOUDFRONT_VIEWER_POLICY_HTTPS Description: "MUST 16.1.37.C.01[CID:1847]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in transit" CloudtrailEnabled: Controls: [ '1998', '2013', '6860', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudtrail-enabled Source: Owner: AWS SourceIdentifier: CLOUD_TRAIL_ENABLED Description: "SHOULD 16.6.6.C.02[CID:1998], SHOULD 16.6.10.C.02[CID:2013], MUST 16.4.35.C.02[CID:6860], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords: (Event Logging and..." CloudtrailS3DataeventsEnabled: Controls: [ '4838' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudtrail-s3-dataevents-enabled Source: Owner: AWS SourceIdentifier: CLOUDTRAIL_S3_DATAEVENTS_ENABLED Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access" CloudtrailSecurityTrailEnabled: Controls: [ '6861' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudtrail-security-trail-enabled Source: Owner: AWS SourceIdentifier: CLOUDTRAIL_SECURITY_TRAIL_ENABLED Description: "MUST 16.4.35.C.03[CID:6861]| Access Control and Passwords/Privileged Access Management/Monitoring and Review" CloudwatchLogGroupEncrypted: Controls: [ '2022', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudwatch-log-group-encrypted Source: Owner: AWS SourceIdentifier: CLOUDWATCH_LOG_GROUP_ENCRYPTED Description: "MUST 16.6.12.C.01[CID:2022], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Event log protection and Public Cloud Security/Loggi..." CmkBackingKeyRotationEnabled: Controls: [ '3021' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cmk-backing-key-rotation-enabled Source: Owner: AWS SourceIdentifier: CMK_BACKING_KEY_ROTATION_ENABLED Description: "SHOULD 17.9.25.C.01[CID:3021]| Cryptography/Key Management/Contents of KMPs" CwLoggroupRetentionPeriodCheck: Controls: [ '1998', '2028' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cw-loggroup-retention-period-check InputParameters: MinRetentionTime: '545' Source: Owner: AWS SourceIdentifier: CW_LOGGROUP_RETENTION_PERIOD_CHECK Description: "SHOULD 16.6.6.C.02[CID:1998], MUST 16.6.13.C.01[CID:2028]| Access Control and Passwords/Event Logging and Auditing: (Maintaining system management logs and Event log ..." DbInstanceBackupEnabled: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: db-instance-backup-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: DB_INSTANCE_BACKUP_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" DmsReplicationNotPublic: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: dms-replication-not-public Source: Owner: AWS SourceIdentifier: DMS_REPLICATION_NOT_PUBLIC Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." DynamodbAutoscalingEnabled: Controls: [ '4829' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: dynamodb-autoscaling-enabled Scope: ComplianceResourceTypes: - AWS::DynamoDB::Table Source: Owner: AWS SourceIdentifier: DYNAMODB_AUTOSCALING_ENABLED Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability" DynamodbPitrEnabled: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: dynamodb-pitr-enabled Scope: ComplianceResourceTypes: - AWS::DynamoDB::Table Source: Owner: AWS SourceIdentifier: DYNAMODB_PITR_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" DynamodbTableEncryptedKms: Controls: [ '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: dynamodb-table-encrypted-kms Scope: ComplianceResourceTypes: - AWS::DynamoDB::Table Source: Owner: AWS SourceIdentifier: DYNAMODB_TABLE_ENCRYPTED_KMS Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access" EbsSnapshotPublicRestorableCheck: Controls: [ '4838' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ebs-snapshot-public-restorable-check Source: Owner: AWS SourceIdentifier: EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access" Ec2EbsEncryptionByDefault: Controls: [ '2082' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ec2-ebs-encryption-by-default Source: Owner: AWS SourceIdentifier: EC2_EBS_ENCRYPTION_BY_DEFAULT Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements" Ec2Imdsv2Check: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ec2-imdsv2-check Scope: ComplianceResourceTypes: - AWS::EC2::Instance Source: Owner: AWS SourceIdentifier: EC2_IMDSV2_CHECK Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." Ec2InstanceNoPublicIp: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ec2-instance-no-public-ip Scope: ComplianceResourceTypes: - AWS::EC2::Instance Source: Owner: AWS SourceIdentifier: EC2_INSTANCE_NO_PUBLIC_IP Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." Ec2InstancesInVpc: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ec2-instances-in-vpc Scope: ComplianceResourceTypes: - AWS::EC2::Instance Source: Owner: AWS SourceIdentifier: INSTANCES_IN_VPC Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." EfsEncryptedCheck: Controls: [ '2082', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: efs-encrypted-check Source: Owner: AWS SourceIdentifier: EFS_ENCRYPTED_CHECK Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements and Enterpri..." ElasticacheRedisClusterAutomaticBackupCheck: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elasticache-redis-cluster-automatic-backup-check Source: Owner: AWS SourceIdentifier: ELASTICACHE_REDIS_CLUSTER_AUTOMATIC_BACKUP_CHECK Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" ElasticsearchEncryptedAtRest: Controls: [ '2082', '4441', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elasticsearch-encrypted-at-rest Source: Owner: AWS SourceIdentifier: ELASTICSEARCH_ENCRYPTED_AT_REST Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..." ElasticsearchInVpcOnly: Controls: [ '3562', '3623', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elasticsearch-in-vpc-only Source: Owner: AWS SourceIdentifier: ELASTICSEARCH_IN_VPC_ONLY Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..." ElasticsearchNodeToNodeEncryptionCheck: Controls: [ '1847', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elasticsearch-node-to-node-encryption-check Scope: ComplianceResourceTypes: - AWS::Elasticsearch::Domain Source: Owner: AWS SourceIdentifier: ELASTICSEARCH_NODE_TO_NODE_ENCRYPTION_CHECK Description: "MUST 16.1.37.C.01[CID:1847], SHOULD 22.1.24.C.04[CID:4839]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in..." ElbCrossZoneLoadBalancingEnabled: Controls: [ '4829' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elb-cross-zone-load-balancing-enabled Scope: ComplianceResourceTypes: - AWS::ElasticLoadBalancing::LoadBalancer Source: Owner: AWS SourceIdentifier: ELB_CROSS_ZONE_LOAD_BALANCING_ENABLED Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability" ElbCustomSecurityPolicySslCheck: Controls: [ '2598', '2600' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elb-custom-security-policy-ssl-check InputParameters: sslProtocolsAndCiphers: 'Protocol-TLSv1.2,ECDHE-ECDSA-AES256-GCM-SHA384' Scope: ComplianceResourceTypes: - AWS::ElasticLoadBalancing::LoadBalancer Source: Owner: AWS SourceIdentifier: ELB_CUSTOM_SECURITY_POLICY_SSL_CHECK Description: "SHOULD 17.4.16.C.01[CID:2598], SHOULD NOT 17.4.16.C.02[CID:2600]| Cryptography/Transport Layer Security/Using TLS" ElbLoggingEnabled: Controls: [ '2013', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elb-logging-enabled Scope: ComplianceResourceTypes: - AWS::ElasticLoadBalancing::LoadBalancer - AWS::ElasticLoadBalancingV2::LoadBalancer Source: Owner: AWS SourceIdentifier: ELB_LOGGING_ENABLED Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..." ElbTlsHttpsListenersOnly: Controls: [ '1667', '1847', '2090', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elb-tls-https-listeners-only Scope: ComplianceResourceTypes: - AWS::ElasticLoadBalancing::LoadBalancer Source: Owner: AWS SourceIdentifier: ELB_TLS_HTTPS_LISTENERS_ONLY Description: "SHOULD 14.5.8.C.01[CID:1667], MUST 16.1.37.C.01[CID:1847], MUST 17.1.55.C.02[CID:2090], SHOULD 22.1.24.C.04[CID:4839]| Software security/Web Application Development/We..." EncryptedVolumes: Controls: [ '2082', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: encrypted-volumes Scope: ComplianceResourceTypes: - AWS::EC2::Volume Source: Owner: AWS SourceIdentifier: ENCRYPTED_VOLUMES Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements and Enterpri..." IamPasswordPolicy: Controls: [ '7545', '7546' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: iam-password-policy InputParameters: MaxPasswordAge: '1095' MinimumPasswordLength: '16' PasswordReusePrevention: '24' RequireUppercaseCharacters: 'false' RequireLowercaseCharacters: 'false' RequireSymbols: 'false' RequireNumbers: 'false' Source: Owner: AWS SourceIdentifier: IAM_PASSWORD_POLICY Description: "MUST 16.1.31.C.02[CID:7545], MUST 16.1.31.C.03[CID:7546]| Access Control and Passwords/Identification, Authentication and Authentication/Passwords and policy" RdsAutomaticMinorVersionUpgradeEnabled: Controls: [ '3452' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-automatic-minor-version-upgrade-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_AUTOMATIC_MINOR_VERSION_UPGRADE_ENABLED Description: "SHOULD 12.4.4.C.05[CID:3452]| Product Security/Product Patching and Updating/Patching vulnerabilities in products" RdsClusterDeletionProtectionEnabled: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-cluster-deletion-protection-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBCluster Source: Owner: AWS SourceIdentifier: RDS_CLUSTER_DELETION_PROTECTION_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" RdsInstanceDeletionProtectionEnabled: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-instance-deletion-protection-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_INSTANCE_DELETION_PROTECTION_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" RdsInstancePublicAccessCheck: Controls: [ '3562', '3623', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-instance-public-access-check Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_INSTANCE_PUBLIC_ACCESS_CHECK Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..." RdsLoggingEnabled: Controls: [ '2013', '4441', '4445', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-logging-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_LOGGING_ENABLED Description: "SHOULD 16.6.10.C.02[CID:2013], SHOULD 20.4.4.C.02[CID:4441], SHOULD 20.4.5.C.02[CID:4445], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and ..." RdsSnapshotEncrypted: Controls: [ '2082', '4441', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-snapshot-encrypted Scope: ComplianceResourceTypes: - AWS::RDS::DBSnapshot - AWS::RDS::DBClusterSnapshot Source: Owner: AWS SourceIdentifier: RDS_SNAPSHOT_ENCRYPTED Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..." RdsSnapshotsPublicProhibited: Controls: [ '4441' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-snapshots-public-prohibited Scope: ComplianceResourceTypes: - AWS::RDS::DBSnapshot - AWS::RDS::DBClusterSnapshot Source: Owner: AWS SourceIdentifier: RDS_SNAPSHOTS_PUBLIC_PROHIBITED Description: "SHOULD 20.4.4.C.02[CID:4441]| Data management/Databases/Database files" RdsStorageEncrypted: Controls: [ '2082', '4441', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-storage-encrypted Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_STORAGE_ENCRYPTED Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..." RedshiftBackupEnabled: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: redshift-backup-enabled Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_BACKUP_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" RedshiftClusterConfigurationCheck: Controls: [ '4441', '4445', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: redshift-cluster-configuration-check InputParameters: clusterDbEncrypted: 'true' loggingEnabled: 'true' Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_CLUSTER_CONFIGURATION_CHECK Description: "SHOULD 20.4.4.C.02[CID:4441], SHOULD 20.4.5.C.02[CID:4445], SHOULD 22.1.24.C.04[CID:4839]| Data management/Databases: (Database files and Accountability) and Enterpr..." RedshiftClusterMaintenancesettingsCheck: Controls: [ '3449', '3453' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: redshift-cluster-maintenancesettings-check InputParameters: allowVersionUpgrade: 'true' Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_CLUSTER_MAINTENANCESETTINGS_CHECK Description: "MUST 12.4.4.C.02[CID:3449], SHOULD 12.4.4.C.06[CID:3453]| Product Security/Product Patching and Updating/Patching vulnerabilities in products" RedshiftClusterPublicAccessCheck: Controls: [ '3562', '3623', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: redshift-cluster-public-access-check Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..." RedshiftRequireTlsSsl: Controls: [ '2090', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: redshift-require-tls-ssl Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_REQUIRE_TLS_SSL Description: "MUST 17.1.55.C.02[CID:2090], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Information and Systems Protection and Enterprise systems security..." RestrictedSsh: Controls: [ '2726' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: restricted-ssh Scope: ComplianceResourceTypes: - AWS::EC2::SecurityGroup Source: Owner: AWS SourceIdentifier: INCOMING_SSH_DISABLED Description: "SHOULD 17.5.8.C.02[CID:2726]| Cryptography/Secure Shell/Automated remote access" S3AccountLevelPublicAccessBlocksPeriodic: Controls: [ '3562', '4838', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-account-level-public-access-blocks-periodic Source: Owner: AWS SourceIdentifier: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS_PERIODIC Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 22.1.24.C.03[CID:4838], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Enterprise systems se..." S3BucketPublicReadProhibited: Controls: [ '4838' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-bucket-public-read-prohibited Scope: ComplianceResourceTypes: - AWS::S3::Bucket Source: Owner: AWS SourceIdentifier: S3_BUCKET_PUBLIC_READ_PROHIBITED Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access" S3BucketPublicWriteProhibited: Controls: [ '4838' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-bucket-public-write-prohibited Scope: ComplianceResourceTypes: - AWS::S3::Bucket Source: Owner: AWS SourceIdentifier: S3_BUCKET_PUBLIC_WRITE_PROHIBITED Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access" S3BucketServerSideEncryptionEnabled: Controls: [ '2082' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-bucket-server-side-encryption-enabled Scope: ComplianceResourceTypes: - AWS::S3::Bucket Source: Owner: AWS SourceIdentifier: S3_BUCKET_SERVER_SIDE_ENCRYPTION_ENABLED Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements" S3BucketSslRequestsOnly: Controls: [ '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-bucket-ssl-requests-only Scope: ComplianceResourceTypes: - AWS::S3::Bucket Source: Owner: AWS SourceIdentifier: S3_BUCKET_SSL_REQUESTS_ONLY Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access" SecretsmanagerUsingCmk: Controls: [ '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: secretsmanager-using-cmk Scope: ComplianceResourceTypes: - AWS::SecretsManager::Secret Source: Owner: AWS SourceIdentifier: SECRETSMANAGER_USING_CMK Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access" SecurityhubEnabled: Controls: [ '3875' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: securityhub-enabled Source: Owner: AWS SourceIdentifier: SECURITYHUB_ENABLED Description: "SHOULD 18.4.12.C.01[CID:3875]| Network security/Intrusion Detection and Prevention/Event management and correlation" SsmDocumentNotPublic: Controls: [ '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ssm-document-not-public Source: Owner: AWS SourceIdentifier: SSM_DOCUMENT_NOT_PUBLIC Description: "MUST 23.4.10.C.01[CID:7466]| Public Cloud Security/Data Protection in Public Cloud/Data accessibility" VpcDefaultSecurityGroupClosed: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: vpc-default-security-group-closed Scope: ComplianceResourceTypes: - AWS::EC2::SecurityGroup Source: Owner: AWS SourceIdentifier: VPC_DEFAULT_SECURITY_GROUP_CLOSED Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." VpcFlowLogsEnabled: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: vpc-flow-logs-enabled Source: Owner: AWS SourceIdentifier: VPC_FLOW_LOGS_ENABLED Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." VpcSgOpenOnlyToAuthorizedPorts: Controls: [ '3205' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: vpc-sg-open-only-to-authorized-ports InputParameters: authorizedTcpPorts: '443' Scope: ComplianceResourceTypes: - AWS::EC2::SecurityGroup Source: Owner: AWS SourceIdentifier: VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS Description: "SHOULD 18.1.13.C.02[CID:3205]| Network security/Network Management/Limiting network access"
