Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Mejores prácticas operativas para NZISM 3.9 (extensión)
Los paquetes de conformidad proporcionan un marco de conformidad de uso general diseñado para permitirle crear controles de seguridad, operativos o de optimización de costos mediante reglas administradas o personalizadas AWS Config y acciones correctivas. AWS Config Los paquetes de conformidad, como plantillas de ejemplo, no están diseñados para garantizar plenamente el cumplimiento de una norma de gobernanza o de conformidad específicas. Usted debe evaluar si su uso de los servicios cumple con los requisitos legales y normativos aplicables.
A continuación, se proporciona un ejemplo de mapeo entre el Manual de seguridad de la información (NZISM) 2025-11 versión 3.9 de la Oficina de Seguridad de las Comunicaciones del Gobierno de Nueva Zelanda (GCSB)
Este ejemplo de plantilla de paquete de conformidad contiene asignaciones a los controles incluidos en el marco del NZISM, que es una parte integral del marco de requisitos de protección y seguridad (PSR) que establece las expectativas del Gobierno de Nueva Zelanda en lo que respecta a la gestión del personal, la información y la seguridad física.
La parte básica de este paquete de conformidad se puede implementar en las regiones de Sídney y de todo el mundo. La parte NZ Transition contiene el subconjunto de reglas de Foundation Config que están disponibles actualmente en la región de Nueva Zelanda. La parte de la Fundación no se desplegará actualmente en la región de Nueva Zelanda. La parte de extensión de este paquete de conformidad se puede implementar en las regiones de Sídney y Nueva Zelanda para aumentar las reglas de Config incluidas en las partes Foundation y NZ Transition.
El NZISM está licenciado bajo la licencia Creative Commons Attribution 4.0 de Nueva Zelanda, disponible en. https://creativecommons.org/licenses/by/4.0/
| ID de control | Descripción del control | Regla de AWS Config | Directrices |
|---|---|---|---|
| 2082 | Criptografía, fundamentos criptográficos, reducción de los requisitos de almacenamiento y transferencia física (17.1.53. C.04.) | Para ayudar a proteger los datos en reposo, asegúrese de que el cifrado esté activado en la caché de la etapa de API Gateway. Puesto que pueden capturarse datos confidenciales para el método de la API, habilite el cifrado en reposo para ayudar a protegerlos. Hay una exención disponible para los entornos de preproducción. | |
| 2082 | Criptografía, fundamentos criptográficos, reducción de los requisitos de almacenamiento y transferencia física (17.1.53. C.04.) | Para ayudar a proteger los datos en reposo, asegúrese de habilitar el cifrado para los buckets de S3. Puesto que puede haber datos confidenciales en reposo en los buckets de Amazon S3, habilite el cifrado en reposo para protegerlos. Para obtener más información sobre el proceso de cifrado y la administración, utilice las CMK administradas por el cliente del AWS Key Management Service (AWS KMS). Hay una exención disponible para los buckets que contienen información no confidencial, siempre que esté habilitado SSE. | |
| 3562 | Seguridad de pasarelas, pasarelas, configuración de pasarelas (19.1.12. C.01.) | Asegúrese de que AWS WAF esté habilitado en Elastic Load Balancers (ELB) para ayudar a proteger las aplicaciones web. Una WAF ayuda a proteger sus aplicaciones web o API frente a las vulnerabilidades comunes de la web. Estas vulnerabilidades de la web pueden afectar a la disponibilidad, comprometer la seguridad o consumir recursos excesivos en su entorno. Hay una exención disponible si el balanceador de carga es el origen de una CloudFront distribución con WAF activado. | |
| 3562 | Seguridad de pasarelas, pasarelas, configuración de pasarelas (19.1.12. C.01.) | Este control comprueba si una etapa de API Gateway utiliza una lista de control de acceso web (ACL) de AWS WAF. Este control falla si una ACL web regional de AWS WAF no está conectada a una etapa REST API Gateway. AWS WAF es un firewall de aplicaciones web que ayuda a proteger las aplicaciones web y las API de ataques. Le permite configurar una web ACL, que son un conjunto de reglas que permiten, bloquean o cuentan solicitudes web en función de las reglas y condiciones de seguridad web personalizables que defina. Asegúrese de que la etapa de API Gateway esté asociada a una ACL web de AWS WAF para protegerla de ataques malintencionados. Hay una exención disponible si la API Gateway es el origen de una CloudFront distribución con WAF activado. | |
| 4333 | Gestión de datos, filtrado de contenido, validación de contenido (20.3.7. C.02.) | Asegúrese de que AWS WAF esté habilitado en Elastic Load Balancers (ELB) para ayudar a proteger las aplicaciones web. Una WAF ayuda a proteger sus aplicaciones web o API frente a las vulnerabilidades comunes de la web. Estas vulnerabilidades de la web pueden afectar a la disponibilidad, comprometer la seguridad o consumir recursos excesivos en su entorno. | |
| 4333 | Gestión de datos, filtrado de contenido, validación de contenido (20.3.7. C.02.) | Este control comprueba si una etapa de API Gateway utiliza una lista de control de acceso web (ACL) de AWS WAF. Este control falla si una ACL web regional de AWS WAF no está conectada a una etapa REST API Gateway. AWS WAF es un firewall de aplicaciones web que ayuda a proteger las aplicaciones web y las API de ataques. Le permite configurar una web ACL, que son un conjunto de reglas que permiten, bloquean o cuentan solicitudes web en función de las reglas y condiciones de seguridad web personalizables que defina. Asegúrese de que la etapa de API Gateway esté asociada a una ACL web de AWS WAF para protegerla de ataques malintencionados. Hay una exención disponible si la API Gateway es el origen de una CloudFront distribución con WAF activado. | |
| 4829 | Seguridad de los sistemas empresariales, computación en la nube, disponibilidad del sistema (22.1.23. C.01.) | Amazon Aurora almacena copias de los datos en un clúster de base de datos en varias zonas de disponibilidad de una sola región de AWS. Aurora almacena estas copias independientemente de si las instancias de base de datos en el clúster de base de datos abarcan varias zonas de disponibilidad. Cuando los datos se escriben en la instancia de base de datos principal, Aurora replica de forma síncrona los datos en zonas de disponibilidad a seis nodos de almacenamiento asociados con el volumen de clúster. Esto proporciona redundancia de datos, elimina las I/O congelaciones y minimiza los picos de latencia durante las copias de seguridad del sistema. Ejecutar una instancia de base de datos con alta disponibilidad puede mejorar la disponibilidad durante el mantenimiento de sistema planificado y ayuda a proteger las bases de datos contra los errores y las interrupciones de las zonas de disponibilidad. Esta regla comprueba si la Multi-AZ replicación está habilitada en los clústeres de Amazon Aurora administrados por Amazon Relational Database Service (RDS). Hay una exención disponible para los entornos de preproducción. | |
| 4829 | Seguridad de los sistemas empresariales, computación en la nube, disponibilidad del sistema (22.1.23. C.01.) | Multi-AZ La compatibilidad con Amazon Relational Database Service (RDS) proporciona una mayor disponibilidad y durabilidad para las instancias de bases de datos. Al aprovisionar una instancia de Multi-AZ base de datos, Amazon RDS crea automáticamente una instancia de base de datos principal y replica los datos de forma sincrónica en una instancia en espera situada en una zona de disponibilidad diferente. Cada zona de disponibilidad se ejecuta en su propia infraestructura independiente y físicamente distinta, y está diseñada para ser altamente fiable. En caso de que se produzca un fallo en la infraestructura, Amazon RDS realiza una conmutación por error automática a la estación en espera para que pueda reanudar las operaciones de la base de datos en cuanto se complete la conmutación por error. Hay una exención disponible para los entornos de preproducción. | |
| 4839 | Seguridad de los sistemas empresariales, computación en la nube, acceso no autorizado (22.1.24. C.04.) | Para ayudar a proteger los datos en reposo, asegúrese de que sus temas relacionados con Amazon Simple Notification Service (Amazon SNS) requieran cifrado mediante AWS Key Management Service (AWS KMS). Puesto que puede haber datos confidenciales en reposo en los mensajes publicados, habilite el cifrado en reposo para ayudar a protegerlos. Hay una exención disponible cuando los mensajes publicados en el tema no contienen información confidencial. | |
| 4849 | Seguridad de sistemas empresariales, computación en la nube, respaldo, recuperación, archivado y permanencia de datos (22.1.26. C.01.) | Para facilitar los procesos de backup de datos, asegúrese de que sus tablas de Amazon DynamoDB formen parte de un plan de AWS Backup. AWS Backup es un servicio de copia de seguridad totalmente gestionado con una solución de copia de seguridad basada en políticas. Esta solución simplifica la administración de copias de seguridad y le permite cumplir con sus requisitos empresariales y normativos de conformidad con las normas de copia de seguridad. Hay una exención disponible cuando se ha configurado una solución de recuperación compensatoria. | |
| 4849 | Seguridad de sistemas empresariales, computación en la nube, respaldo, recuperación, archivado y permanencia de datos (22.1.26. C.01.) | Para facilitar los procesos de backup de datos, asegúrese de que sus volúmenes de Amazon Elastic Block Store (Amazon EBS) formen parte de un plan de AWS Backup. AWS Backup es un servicio de copia de seguridad totalmente gestionado con una solución de copia de seguridad basada en políticas. Esta solución simplifica la administración de copias de seguridad y le permite cumplir con sus requisitos empresariales y normativos de conformidad con las normas de copia de seguridad. Hay una exención disponible cuando se ha configurado una solución de recuperación compensatoria. | |
| 4849 | Seguridad de sistemas empresariales, computación en la nube, respaldo, recuperación, archivado y permanencia de datos (22.1.26. C.01.) | Para facilitar los procesos de backup de datos, asegúrese de que sus sistemas de archivos Amazon Elastic File System (Amazon EFS) formen parte de un plan de AWS Backup. AWS Backup es un servicio de copia de seguridad totalmente gestionado con una solución de copia de seguridad basada en políticas. Esta solución simplifica la administración de copias de seguridad y le permite cumplir con sus requisitos empresariales y normativos de conformidad con las normas de copia de seguridad. Hay una exención disponible cuando se ha configurado una solución de recuperación compensatoria. | |
| 4849 | Seguridad de sistemas empresariales, computación en la nube, respaldo, recuperación, archivado y permanencia de datos (22.1.26. C.01.) | Para facilitar los procesos de backup de datos, asegúrese de que sus instancias de Amazon Relational Database Service (RDS) formen parte de un plan de AWS Backup. AWS Backup es un servicio de copia de seguridad totalmente gestionado con una solución de copia de seguridad basada en políticas. Esta solución simplifica la administración de copias de seguridad y le permite cumplir con sus requisitos empresariales y normativos de conformidad con las normas de copia de seguridad. Hay una exención disponible cuando se ha configurado una solución de recuperación compensatoria. | |
| 4849 | Seguridad de sistemas empresariales, computación en la nube, respaldo, recuperación, archivado y permanencia de datos (22.1.26. C.01.) | El control de versiones de buckets de Amazon Simple Storage Service (Amazon S3) permite usar múltiples variantes de un objeto en el mismo bucket de Amazon S3. Use el control de versiones para conservar, recuperar y restaurar todas las versiones de los objetos almacenados en su bucket de Amazon S3. El control de versiones ayuda a recuperarse fácilmente de acciones no deseadas del usuario y de errores de la aplicación. Hay una exención disponible cuando solo se va a crear una única variante de un objeto o cuando se ha configurado una solución de recuperación compensatoria. | |
| 7466 | Seguridad en la nube pública, protección de datos en la nube pública, accesibilidad de los datos (23.4.10. C.01.) | Asegúrese de que AWS WAF esté habilitado en Elastic Load Balancers (ELB) para ayudar a proteger las aplicaciones web. Una WAF ayuda a proteger sus aplicaciones web o API frente a las vulnerabilidades comunes de la web. Estas vulnerabilidades de la web pueden afectar a la disponibilidad, comprometer la seguridad o consumir recursos excesivos en su entorno. | |
| 7466 | Seguridad en la nube pública, protección de datos en la nube pública, accesibilidad de los datos (23.4.10. C.01.) | Este control comprueba si una etapa de API Gateway utiliza una lista de control de acceso web (ACL) de AWS WAF. Este control falla si una ACL web regional de AWS WAF no está conectada a una etapa REST API Gateway. AWS WAF es un firewall de aplicaciones web que ayuda a proteger las aplicaciones web y las API de ataques. Le permite configurar una web ACL, que son un conjunto de reglas que permiten, bloquean o cuentan solicitudes web en función de las reglas y condiciones de seguridad web personalizables que defina. Asegúrese de que la etapa de API Gateway esté asociada a una ACL web de AWS WAF para protegerla de ataques malintencionados. Hay una exención disponible si la API Gateway es el origen de una CloudFront distribución con WAF activado. |
Plantilla
################################################################################## # # Conformance Pack: # Operational Best Practices for NZISM Extension # # This conformance pack helps verify compliance with NZISM requirements. # ################################################################################## Resources: AlbWafEnabled: Condition: checkAlbWafEnabled Controls: [ '3562', '4333', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: alb-waf-enabled Scope: ComplianceResourceTypes: - AWS::ElasticLoadBalancingV2::LoadBalancer Source: Owner: AWS SourceIdentifier: ALB_WAF_ENABLED Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 20.3.7.C.02[CID:4333], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Data management/Conten..." ApiGwAssociatedWithWaf: Condition: checkApiGwAssociatedWithWaf Controls: [ '3562', '4333', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: api-gw-associated-with-waf Source: Owner: AWS SourceIdentifier: API_GW_ASSOCIATED_WITH_WAF Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 20.3.7.C.02[CID:4333], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Data management/Conten..." ApiGwCacheEnabledAndEncrypted: Condition: checkApiGwCacheEnabledAndEncrypted Controls: [ '2082' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: api-gw-cache-enabled-and-encrypted Scope: ComplianceResourceTypes: - AWS::ApiGateway::Stage Source: Owner: AWS SourceIdentifier: API_GW_CACHE_ENABLED_AND_ENCRYPTED Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements" DynamodbInBackupPlan: Condition: checkDynamodbInBackupPlan Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: dynamodb-in-backup-plan Source: Owner: AWS SourceIdentifier: DYNAMODB_IN_BACKUP_PLAN Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" EbsInBackupPlan: Condition: checkEbsInBackupPlan Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ebs-in-backup-plan Source: Owner: AWS SourceIdentifier: EBS_IN_BACKUP_PLAN Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" EfsInBackupPlan: Condition: checkEfsInBackupPlan Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: efs-in-backup-plan Source: Owner: AWS SourceIdentifier: EFS_IN_BACKUP_PLAN Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" RdsClusterMultiAzEnabled: Condition: checkRdsClusterMultiAzEnabled Controls: [ '4829' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-cluster-multi-az-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBCluster Source: Owner: AWS SourceIdentifier: RDS_CLUSTER_MULTI_AZ_ENABLED Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability" RdsInBackupPlan: Condition: checkRdsInBackupPlan Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-in-backup-plan Source: Owner: AWS SourceIdentifier: RDS_IN_BACKUP_PLAN Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" RdsMultiAzSupport: Condition: checkRdsMultiAzSupport Controls: [ '4829' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-multi-az-support Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_MULTI_AZ_SUPPORT Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability" S3BucketVersioningEnabled: Condition: checkS3BucketVersioningEnabled Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-bucket-versioning-enabled Scope: ComplianceResourceTypes: - AWS::S3::Bucket Source: Owner: AWS SourceIdentifier: S3_BUCKET_VERSIONING_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" S3DefaultEncryptionKms: Condition: checkS3DefaultEncryptionKms Controls: [ '2082' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-default-encryption-kms Scope: ComplianceResourceTypes: - AWS::S3::Bucket Source: Owner: AWS SourceIdentifier: S3_DEFAULT_ENCRYPTION_KMS Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements" SnsEncryptedKms: Condition: checkSnsEncryptedKms Controls: [ '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: sns-encrypted-kms Scope: ComplianceResourceTypes: - AWS::SNS::Topic Source: Owner: AWS SourceIdentifier: SNS_ENCRYPTED_KMS Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access"
