Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Operative Best Practices für NZISM 3.9 (Erweiterung)
Konformitätspakete bieten ein allgemeines Compliance-Framework, das es Ihnen ermöglicht, mithilfe verwalteter oder benutzerdefinierter AWS Config Regeln und Abhilfemaßnahmen Kontrollen zur Sicherheits-, Betriebs- oder Kostenoptimierung durchzuführen. AWS Config Conformance Packs dienen als Beispielvorlagen nicht dazu, die vollständige Einhaltung eines bestimmten Governance- oder Compliance-Standards sicherzustellen. Sie sind dafür verantwortlich, selbst zu beurteilen, ob Ihre Nutzung der Services den geltenden gesetzlichen und behördlichen Anforderungen entspricht.
Im Folgenden finden Sie ein Beispiel für eine Zuordnung zwischen dem Information Security Manual (NZISM) 2025-11 Version 3.9 des Neuseeland Government Communications Security Bureau (GCSB)
Diese Vorlage für ein Konformitätspaket enthält Zuordnungen zu Kontrollen innerhalb des NZISM-Frameworks, das ein integraler Bestandteil des PSR-Frameworks (Protective Security Requirements) ist, das die Erwartungen der neuseeländischen Regierung an das Personal-, Informations- und physische Sicherheitsmanagement festlegt.
Der Foundation-Teil dieses Konformitätspakets kann in Sydney und weltweit eingesetzt werden. Der Teil NZ Transition enthält die Teilmenge der Foundation Config-Regeln, die derzeit in der Region Neuseeland verfügbar sind. Der Foundation-Teil wird derzeit nicht in der Region Neuseeland eingesetzt. Der Erweiterungsteil dieses Konformitätspakets kann in den Regionen Sydney und Neuseeland bereitgestellt werden, um die in den Teilen Foundation und NZ Transition enthaltenen Konfigurationsregeln zu erweitern.
Das NZISM ist unter der Creative Commons Attribution 4.0 New Zealand-Lizenz lizenziert, verfügbar unter. https://creativecommons.org/licenses/by/4.0/
| Kontroll-ID | Beschreibung der Kontrolle | AWS-Konfigurationsregel | Empfehlung |
|---|---|---|---|
| 2082 | Kryptographie, kryptografische Grundlagen, Reduzierung der Speicher- und physischen Übertragungsanforderungen (17.1.53. C.04.) | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für den Cache Ihrer API-Gateway-Stufe aktiviert ist. Da für die API-Methode sensible Daten erfasst werden können, sollten Sie die Verschlüsselung von Daten im Ruhezustand aktivieren, um diese Daten zu schützen. Eine Ausnahme ist für Vorproduktionsumgebungen verfügbar. | |
| 2082 | Kryptographie, kryptografische Grundlagen, Reduzierung der Speicher- und physischen Übertragungsanforderungen (17.1.53. C.04.) | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass die Verschlüsselung für Ihre S3-Buckets aktiviert ist. Um eventuell vorhandene sensible Daten im Ruhezustand in einem Amazon-S3-Bucket zu schützen, muss die Verschlüsselung aktiviert sein. Weitere Informationen zum Verschlüsselungsprozess und zur Verwaltung finden Sie in den kundenverwalteten CMKs des AWS Key Management Service (AWS KMS). Eine Ausnahme ist für Buckets mit nicht sensiblen Daten verfügbar, sofern SSE aktiviert ist. | |
| 3562 | Gateway-Sicherheit, Gateways, Konfiguration von Gateways (19.1.12. C.01.) | Stellen Sie sicher, dass AWS WAF auf Elastic Load Balancers (ELB) aktiviert ist, um Webanwendungen zu schützen. Eine WAF hilft, Ihre Webanwendungen oder APIs vor gängigen Web-Exploits zu schützen. Diese Web-Exploits können sich auf die Verfügbarkeit auswirken, die Sicherheit gefährden oder übermäßige Ressourcen in Ihrer Umgebung verbrauchen. Eine Ausnahme ist verfügbar, wenn der Load Balancer der Ursprung einer CloudFront Distribution mit aktivierter WAF ist. | |
| 3562 | Gateway-Sicherheit, Gateways, Konfiguration von Gateways (19.1.12. C.01.) | Diese Kontrolle prüft, ob eine API-Gateway-Stufe eine AWS WAF Web Access Control List (ACL) verwendet. Diese Kontrolle schlägt fehl, wenn eine regionale AWS-WAF-Web-ACL nicht an eine REST-API-Gateway-Stufe angehängt ist. AWS WAF ist eine webbasierte Firewall, die Webanwendungen und APIs vor Angriffen schützt. Damit können Sie eine ACL konfigurieren, bei der es sich um eine Reihe von Regeln handelt, die Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre API-Gateway-Stufe mit einer AWS WAF WAF-Web-ACL verknüpft ist, um sie vor böswilligen Angriffen zu schützen. Eine Ausnahme ist verfügbar, wenn das API Gateway der Ursprung für eine CloudFront Distribution mit aktivierter WAF ist. | |
| 4333 | Datenmanagement, Inhaltsfilterung, Inhaltsvalidierung (20.3.7. C.02.) | Stellen Sie sicher, dass AWS WAF auf Elastic Load Balancers (ELB) aktiviert ist, um Webanwendungen zu schützen. Eine WAF hilft, Ihre Webanwendungen oder APIs vor gängigen Web-Exploits zu schützen. Diese Web-Exploits können sich auf die Verfügbarkeit auswirken, die Sicherheit gefährden oder übermäßige Ressourcen in Ihrer Umgebung verbrauchen. | |
| 4333 | Datenmanagement, Inhaltsfilterung, Inhaltsvalidierung (20.3.7. C.02.) | Diese Kontrolle prüft, ob eine API-Gateway-Stufe eine AWS WAF Web Access Control List (ACL) verwendet. Diese Kontrolle schlägt fehl, wenn eine regionale AWS-WAF-Web-ACL nicht an eine REST-API-Gateway-Stufe angehängt ist. AWS WAF ist eine webbasierte Firewall, die Webanwendungen und APIs vor Angriffen schützt. Damit können Sie eine ACL konfigurieren, bei der es sich um eine Reihe von Regeln handelt, die Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre API-Gateway-Stufe mit einer AWS WAF WAF-Web-ACL verknüpft ist, um sie vor böswilligen Angriffen zu schützen. Eine Ausnahme ist verfügbar, wenn das API Gateway der Ursprung für eine CloudFront Distribution mit aktivierter WAF ist. | |
| 4829 | Sicherheit von Unternehmenssystemen, Cloud Computing, Systemverfügbarkeit (22.1.23. C.01.) | Amazon Aurora speichert Kopien der Daten in einem DB-Cluster über mehrere Availability Zones in einer einzigen AWS-Region. Dieser Speichervorgang von Aurora erfolgt unabhängig davon, ob die DB-Instances im DB-Cluster mehrere Availability Zones umfassen. Wenn Daten in die primäre DB-Instance geschrieben werden, repliziert Aurora die Daten synchron über die Availability Zones auf sechs Speicherknoten, die Ihrem Cluster-Volume zugeordnet sind. Dadurch wird Datenredundanz gewährleistet, I/O Einfrierungen vermieden und Latenzspitzen bei System-Backups minimiert. Wenn Sie eine DB-Instance mit hoher Verfügbarkeit ausführen, kann dies die Verfügbarkeit bei geplanten Systemwartungen verbessern. Außerdem kann dies Ihre Datenbanken bei Ausfällen und bei Nichtverfügbarkeit von Availability Zones schützen. Diese Regel prüft, ob die Multi-AZ Replikation auf Amazon Aurora Aurora-Clustern aktiviert ist, die von Amazon Relational Database Service (RDS) verwaltet werden. Eine Ausnahme ist für Vorproduktionsumgebungen verfügbar. | |
| 4829 | Sicherheit von Unternehmenssystemen, Cloud Computing, Systemverfügbarkeit (22.1.23. C.01.) | Multi-AZ Die Unterstützung in Amazon Relational Database Service (RDS) sorgt für eine verbesserte Verfügbarkeit und Haltbarkeit von Datenbank-Instances. Wenn Sie eine Multi-AZ Datenbank-Instance bereitstellen, erstellt Amazon RDS automatisch eine primäre Datenbank-Instance und repliziert die Daten synchron auf eine Standby-Instance in einer anderen Availability Zone. Jede Availability Zone läuft auf einer eigenen, physisch getrennten, unabhängigen Infrastruktur und ist auf eine hohe Verfügbarkeit ausgelegt. Im Falle eines Infrastrukturausfalls führt Amazon RDS einen automatischen Failover zum Standby-Modus durch, sodass Sie den Datenbankbetrieb wieder aufnehmen können, sobald der Failover abgeschlossen ist. Eine Ausnahme ist für Vorproduktionsumgebungen verfügbar. | |
| 4839 | Sicherheit von Unternehmenssystemen, Cloud Computing, unbefugter Zugriff (22.1.24. C.04.) | Um Daten im Ruhezustand zu schützen, stellen Sie sicher, dass Ihre Amazon Simple Notification Service (Amazon SNS) -Themen mit dem AWS Key Management Service (AWS KMS) verschlüsselt werden müssen. Um eventuell vorhandene sensible Daten im Ruhezustand in veröffentlichten Nachrichten zu schützen, muss die Verschlüsselung von Daten im Ruhezustand aktiviert sein. Eine Ausnahme ist verfügbar, wenn Nachrichten, die zu diesem Thema veröffentlicht wurden, keine sensiblen Daten enthalten. | |
| 4849 | Sicherheit von Unternehmenssystemen, Cloud Computing, Backup, Recovery, Archivierung und Datenremanenz (22.1.26). C.01.) | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon DynamoDB-Tabellen Teil eines AWS-Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. Eine Ausnahme ist verfügbar, wenn eine kompensierende Wiederherstellungslösung konfiguriert wurde. | |
| 4849 | Sicherheit von Unternehmenssystemen, Cloud Computing, Backup, Recovery, Archivierung und Datenremanenz (22.1.26). C.01.) | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic Block Store (Amazon EBS) -Volumes Teil eines AWS-Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. Eine Ausnahme ist verfügbar, wenn eine kompensierende Wiederherstellungslösung konfiguriert wurde. | |
| 4849 | Sicherheit von Unternehmenssystemen, Cloud Computing, Backup, Recovery, Archivierung und Datenremanenz (22.1.26). C.01.) | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Elastic File System (Amazon EFS) -Dateisysteme Teil eines AWS-Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. Eine Ausnahme ist verfügbar, wenn eine kompensierende Wiederherstellungslösung konfiguriert wurde. | |
| 4849 | Sicherheit von Unternehmenssystemen, Cloud Computing, Backup, Recovery, Archivierung und Datenremanenz (22.1.26). C.01.) | Um Sie bei Datensicherungsprozessen zu unterstützen, stellen Sie sicher, dass Ihre Amazon Relational Database Service (RDS) -Instances Teil eines AWS-Backup-Plans sind. AWS Backup ist ein vollständig verwalteter Backup-Service mit einer richtlinienbasierten Backup-Lösung. Diese Lösung vereinfacht Ihr Sicherungsmanagement und erleichtert Ihnen die Erfüllung von geschäftlichen und behördlichen Compliance-Anforderungen hinsichtlich Datensicherungen. Eine Ausnahme ist verfügbar, wenn eine kompensierende Wiederherstellungslösung konfiguriert wurde. | |
| 4849 | Sicherheit von Unternehmenssystemen, Cloud Computing, Backup, Recovery, Archivierung und Datenremanenz (22.1.26). C.01.) | Die Versionsverwaltung von Amazon Simple Storage Service (Amazon S3)-Buckets hilft dabei, mehrere Varianten eines Objekts im selben Amazon-S3-Bucket zu speichern. Verwenden Sie die Versionsverwaltung, um sämtliche Versionen aller Objekte in Ihrem Amazon-S3-Bucket zu speichern, abzurufen oder wiederherzustellen. Mit der Versionsverwaltung können Sie Versionen sowohl nach unbeabsichtigten Benutzeraktionen als auch nach Anwendungsfehlern problemlos wiederherstellen. Eine Ausnahme ist verfügbar, wenn nur eine einzige Variante eines Objekts erstellt wird oder wenn eine kompensierende Wiederherstellungslösung konfiguriert wurde. | |
| 7466 | Sicherheit in öffentlichen Clouds, Datenschutz in der Public Cloud, Datenzugänglichkeit (23.4.10. C.01.) | Stellen Sie sicher, dass AWS WAF auf Elastic Load Balancers (ELB) aktiviert ist, um Webanwendungen zu schützen. Eine WAF hilft, Ihre Webanwendungen oder APIs vor gängigen Web-Exploits zu schützen. Diese Web-Exploits können sich auf die Verfügbarkeit auswirken, die Sicherheit gefährden oder übermäßige Ressourcen in Ihrer Umgebung verbrauchen. | |
| 7466 | Sicherheit in öffentlichen Clouds, Datenschutz in der Public Cloud, Datenzugänglichkeit (23.4.10. C.01.) | Diese Kontrolle prüft, ob eine API-Gateway-Stufe eine AWS WAF Web Access Control List (ACL) verwendet. Diese Kontrolle schlägt fehl, wenn eine regionale AWS-WAF-Web-ACL nicht an eine REST-API-Gateway-Stufe angehängt ist. AWS WAF ist eine webbasierte Firewall, die Webanwendungen und APIs vor Angriffen schützt. Damit können Sie eine ACL konfigurieren, bei der es sich um eine Reihe von Regeln handelt, die Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulassen, blockieren oder zählen. Stellen Sie sicher, dass Ihre API-Gateway-Stufe mit einer AWS WAF WAF-Web-ACL verknüpft ist, um sie vor böswilligen Angriffen zu schützen. Eine Ausnahme ist verfügbar, wenn das API Gateway der Ursprung für eine CloudFront Distribution mit aktivierter WAF ist. |
Vorlage
################################################################################## # # Conformance Pack: # Operational Best Practices for NZISM Extension # # This conformance pack helps verify compliance with NZISM requirements. # ################################################################################## Resources: AlbWafEnabled: Condition: checkAlbWafEnabled Controls: [ '3562', '4333', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: alb-waf-enabled Scope: ComplianceResourceTypes: - AWS::ElasticLoadBalancingV2::LoadBalancer Source: Owner: AWS SourceIdentifier: ALB_WAF_ENABLED Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 20.3.7.C.02[CID:4333], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Data management/Conten..." ApiGwAssociatedWithWaf: Condition: checkApiGwAssociatedWithWaf Controls: [ '3562', '4333', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: api-gw-associated-with-waf Source: Owner: AWS SourceIdentifier: API_GW_ASSOCIATED_WITH_WAF Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 20.3.7.C.02[CID:4333], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Data management/Conten..." ApiGwCacheEnabledAndEncrypted: Condition: checkApiGwCacheEnabledAndEncrypted Controls: [ '2082' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: api-gw-cache-enabled-and-encrypted Scope: ComplianceResourceTypes: - AWS::ApiGateway::Stage Source: Owner: AWS SourceIdentifier: API_GW_CACHE_ENABLED_AND_ENCRYPTED Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements" DynamodbInBackupPlan: Condition: checkDynamodbInBackupPlan Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: dynamodb-in-backup-plan Source: Owner: AWS SourceIdentifier: DYNAMODB_IN_BACKUP_PLAN Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" EbsInBackupPlan: Condition: checkEbsInBackupPlan Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ebs-in-backup-plan Source: Owner: AWS SourceIdentifier: EBS_IN_BACKUP_PLAN Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" EfsInBackupPlan: Condition: checkEfsInBackupPlan Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: efs-in-backup-plan Source: Owner: AWS SourceIdentifier: EFS_IN_BACKUP_PLAN Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" RdsClusterMultiAzEnabled: Condition: checkRdsClusterMultiAzEnabled Controls: [ '4829' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-cluster-multi-az-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBCluster Source: Owner: AWS SourceIdentifier: RDS_CLUSTER_MULTI_AZ_ENABLED Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability" RdsInBackupPlan: Condition: checkRdsInBackupPlan Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-in-backup-plan Source: Owner: AWS SourceIdentifier: RDS_IN_BACKUP_PLAN Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" RdsMultiAzSupport: Condition: checkRdsMultiAzSupport Controls: [ '4829' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-multi-az-support Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_MULTI_AZ_SUPPORT Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability" S3BucketVersioningEnabled: Condition: checkS3BucketVersioningEnabled Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-bucket-versioning-enabled Scope: ComplianceResourceTypes: - AWS::S3::Bucket Source: Owner: AWS SourceIdentifier: S3_BUCKET_VERSIONING_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" S3DefaultEncryptionKms: Condition: checkS3DefaultEncryptionKms Controls: [ '2082' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-default-encryption-kms Scope: ComplianceResourceTypes: - AWS::S3::Bucket Source: Owner: AWS SourceIdentifier: S3_DEFAULT_ENCRYPTION_KMS Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements" SnsEncryptedKms: Condition: checkSnsEncryptedKms Controls: [ '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: sns-encrypted-kms Scope: ComplianceResourceTypes: - AWS::SNS::Topic Source: Owner: AWS SourceIdentifier: SNS_ENCRYPTED_KMS Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access"
