Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Praktik Terbaik Operasional untuk NZISM 3.9 (Ekstensi)
Paket kesesuaian menyediakan kerangka kerja kepatuhan tujuan umum yang dirancang untuk memungkinkan Anda membuat pemeriksaan tata kelola keamanan, operasional, atau pengoptimalan biaya menggunakan aturan dan tindakan remediasi terkelola atau khusus. AWS Config AWS Config Paket Kesesuaian, sebagai contoh templat, tidak dirancang untuk sepenuhnya memastikan kepatuhan terhadap tata kelola atau standar kepatuhan tertentu. Anda bertanggung jawab untuk membuat penilaian sendiri tentang apakah penggunaan Layanan oleh Anda memenuhi persyaratan hukum dan peraturan yang berlaku.
Berikut ini memberikan contoh pemetaan antara [Manual Keamanan Informasi (NZISM) Biro Keamanan Komunikasi Pemerintah Selandia Baru (GCSB) 2025-11 Versi 3.9](https://www.nzism.gcsb.govt.nz/ism-document) dan aturan Konfigurasi Terkelola. AWS Setiap aturan Config berlaku untuk jenis AWS sumber daya tertentu, dan berhubungan dengan satu atau beberapa kontrol NZISM. Kontrol NZISM dapat dikaitkan dengan beberapa aturan Config. Lihat tabel di bawah ini untuk detail lebih lanjut dan panduan terkait pemetaan ini. Hanya kontrol yang mewakili praktik yang direkomendasikan atau dasar untuk informasi yang diklasifikasikan DIBATASI dan di bawah ini yang termasuk dalam pemetaan.
Templat paket kesesuaian sampel ini berisi pemetaan ke kontrol dalam kerangka kerja NZISM, yang merupakan bagian integral dari kerangka Persyaratan Keamanan Pelindung (PSR) yang menetapkan harapan Pemerintah Selandia Baru untuk pengelolaan personel, informasi, dan keamanan fisik.
Bagian Foundation dari paket kesesuaian ini dapat dikerahkan ke Sydney dan wilayah global. Bagian Transisi NZ berisi subset aturan Foundation Config yang saat ini tersedia di wilayah Selandia Baru. Bagian Foundation saat ini tidak akan dikerahkan ke wilayah Selandia Baru. Bagian Ekstensi dari paket kesesuaian ini dapat dikerahkan ke wilayah Sydney dan Selandia Baru untuk menambah aturan Konfigurasi yang disediakan di bagian Foundation dan NZ Transisi.
NZISM dilisensikan di bawah lisensi Creative Commons Attribution 4.0 Selandia Baru, tersedia di. [https://creativecommons.org/licenses/by/4.0/](https://creativecommons.org/licenses/by/4.0/) Informasi hak cipta dapat ditemukan di [Manual Keamanan Informasi Selandia Baru NZISM \| Hukum, Privasi,](https://www.nzism.gcsb.govt.nz/legal-privacy-and-copyright/) dan Hak Cipta.
****
| ID Kontrol | Deskripsi Kontrol | Aturan AWS Config | Bimbingan |
| --- | --- | --- | --- |
| 2082 | Kriptografi, Dasar-dasar Kriptografi, Mengurangi penyimpanan dan persyaratan transfer fisik (17.1.53. C.04.) | [api-gw-cache-enabled-dan-dienkripsi](api-gw-cache-enabled-and-encrypted.md) | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk cache tahap API Gateway Anda. Karena data sensitif dapat ditangkap untuk metode API, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. Pengecualian tersedia untuk lingkungan pra-produksi. |
| 2082 | Kriptografi, Dasar-dasar Kriptografi, Mengurangi penyimpanan dan persyaratan transfer fisik (17.1.53. C.04.) | [s3-default-enkripsi-kms](s3-default-encryption-kms.md) | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk bucket S3 Anda. Karena data sensitif dapat ada saat diam di bucket Amazon S3, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. Untuk informasi selengkapnya tentang proses dan administrasi enkripsi, gunakan CMK yang dikelola pelanggan AWS Key Management Service (AWS KMS). Pengecualian tersedia untuk bucket yang berisi data non-sensitif asalkan SSE diaktifkan. |
| 3562 | Keamanan gateway, Gateway, Konfigurasi gateway (19.1.12. C.01.) | [alb-waf-enabled](alb-waf-enabled.md) | Pastikan AWS WAF diaktifkan pada Elastic Load Balancers (ELB) untuk membantu melindungi aplikasi web. WAF membantu melindungi aplikasi web atau API Anda dari eksploitasi web umum. Eksploitasi web ini dapat memengaruhi ketersediaan, membahayakan keamanan, atau mengkonsumsi sumber daya yang berlebihan di lingkungan Anda. Pengecualian tersedia jika penyeimbang beban adalah asal untuk CloudFront distribusi dengan WAF diaktifkan. |
| 3562 | Keamanan gateway, Gateway, Konfigurasi gateway (19.1.12. C.01.) | [api-gw-associated-with-waf](api-gw-associated-with-waf.md) | Kontrol ini memeriksa apakah tahap API Gateway menggunakan daftar kontrol akses web (ACL) AWS WAF. Kontrol ini gagal jika AWS WAF Regional web ACL tidak dilampirkan ke tahap REST API Gateway. AWS WAF adalah firewall aplikasi web yang membantu melindungi aplikasi web dan API dari serangan. Ini memungkinkan Anda untuk mengonfigurasi ACL, yang merupakan seperangkat aturan yang memungkinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan kondisi keamanan web yang dapat disesuaikan yang Anda tentukan. Pastikan tahap API Gateway Anda dikaitkan dengan AWS WAF web ACL untuk membantu melindunginya dari serangan berbahaya. Pengecualian tersedia jika API Gateway adalah asal untuk CloudFront distribusi dengan WAF diaktifkan. |
| 4333 | Manajemen data, Penyaringan Konten, Validasi konten (20.3.7. C.02.) | [alb-waf-enabled](alb-waf-enabled.md) | Pastikan AWS WAF diaktifkan pada Elastic Load Balancers (ELB) untuk membantu melindungi aplikasi web. WAF membantu melindungi aplikasi web atau API Anda dari eksploitasi web umum. Eksploitasi web ini dapat memengaruhi ketersediaan, membahayakan keamanan, atau mengkonsumsi sumber daya yang berlebihan di lingkungan Anda. |
| 4333 | Manajemen data, Penyaringan Konten, Validasi konten (20.3.7. C.02.) | [api-gw-associated-with-waf](api-gw-associated-with-waf.md) | Kontrol ini memeriksa apakah tahap API Gateway menggunakan daftar kontrol akses web (ACL) AWS WAF. Kontrol ini gagal jika AWS WAF Regional web ACL tidak dilampirkan ke tahap REST API Gateway. AWS WAF adalah firewall aplikasi web yang membantu melindungi aplikasi web dan API dari serangan. Ini memungkinkan Anda untuk mengonfigurasi ACL, yang merupakan seperangkat aturan yang memungkinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan kondisi keamanan web yang dapat disesuaikan yang Anda tentukan. Pastikan tahap API Gateway Anda dikaitkan dengan AWS WAF web ACL untuk membantu melindunginya dari serangan berbahaya. Pengecualian tersedia jika API Gateway adalah asal untuk CloudFront distribusi dengan WAF diaktifkan. |
| 4829 | Keamanan sistem perusahaan, Cloud Computing, Ketersediaan Sistem (22.1.23. C.01.) | [rds-cluster-multi-az-diaktifkan](rds-cluster-multi-az-enabled.md) | Amazon Aurora menyimpan salinan data dalam klaster DB di beberapa Availability Zone dalam satu Wilayah AWS. Aurora menyimpan salinan ini terlepas jika instans dalam klaster DB mencakup beberapa Zona Ketersediaan. Ketika data ditulis ke instans DB primer, Aurora secara sinkron mereplikasi data di seluruh Zona Ketersediaan ke enam simpul penyimpanan yang terkait dengan volume klaster Anda. Melakukan hal itu memberikan redundansi data, menghilangkan I/O pembekuan, dan meminimalkan lonjakan latensi selama pencadangan sistem. Menjalankan instans DB dengan ketersediaan tinggi dapat meningkatkan ketersediaan selama pemeliharaan sistem terencana, dan membantu melindungi basis data Anda terhadap kegagalan dan gangguan Zona Ketersediaan. Aturan ini memeriksa apakah Multi-AZ replikasi diaktifkan pada klaster Amazon Aurora yang dikelola oleh Amazon Relational Database Service (RDS). Pengecualian tersedia untuk lingkungan pra-produksi. |
| 4829 | Keamanan sistem perusahaan, Cloud Computing, Ketersediaan Sistem (22.1.23. C.01.) | [dukungan rds-multi-az-](rds-multi-az-support.md) | Multi-AZ dukungan di Amazon Relational Database Service (RDS) memberikan peningkatan ketersediaan dan daya tahan untuk instans database. Saat Anda menyediakan instance Multi-AZ database, Amazon RDS secara otomatis membuat instance database utama, dan mereplikasi data secara sinkron ke instance siaga di Availability Zone yang berbeda. Setiap Availability Zone berjalan pada infrastruktur independen yang berbeda secara fisik, dan direkayasa agar sangat andal. Jika terjadi kegagalan infrastruktur, Amazon RDS melakukan failover otomatis ke standby sehingga Anda dapat melanjutkan operasi database segera setelah failover selesai. Pengecualian tersedia untuk lingkungan pra-produksi. |
| 4839 | Keamanan sistem perusahaan, Komputasi Awan, Akses Tidak Sah (22.1.24. C.04.) | [sns-terenkripsi-kms](sns-encrypted-kms.md) | Untuk membantu melindungi data saat istirahat, pastikan bahwa topik Amazon Simple Notification Service (Amazon SNS) Anda memerlukan enkripsi menggunakan AWS Key Management Service (AWS KMS). Karena data sensitif dapat ada saat diam dalam pesan yang dipublikasikan, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. Pengecualian tersedia ketika pesan yang dipublikasikan ke topik tidak mengandung data sensitif. |
| 4849 | Keamanan sistem perusahaan, Komputasi Awan, Pencadangan, Pengarsipan Pemulihan, dan Remanensi Data (22.1.26. C.01.) | [dinamodb-dalam-rencana cadangan](dynamodb-in-backup-plan.md) | Untuk membantu proses pencadangan data, pastikan tabel Amazon DynamoDB Anda adalah bagian dari paket AWS Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. Pengecualian tersedia ketika solusi pemulihan kompensasi telah dikonfigurasi. |
| 4849 | Keamanan sistem perusahaan, Komputasi Awan, Pencadangan, Pengarsipan Pemulihan, dan Remanensi Data (22.1.26. C.01.) | [ebs-in-backup-plan](ebs-in-backup-plan.md) | Untuk membantu proses pencadangan data, pastikan volume Amazon Elastic Block Store (Amazon EBS) Anda adalah bagian dari paket AWS Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. Pengecualian tersedia ketika solusi pemulihan kompensasi telah dikonfigurasi. |
| 4849 | Keamanan sistem perusahaan, Komputasi Awan, Pencadangan, Pengarsipan Pemulihan, dan Remanensi Data (22.1.26. C.01.) | [rencana efs-dalam-cadangan](efs-in-backup-plan.md) | Untuk membantu proses pencadangan data, pastikan sistem file Amazon Elastic File System (Amazon EFS) Anda adalah bagian dari paket AWS Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. Pengecualian tersedia ketika solusi pemulihan kompensasi telah dikonfigurasi. |
| 4849 | Keamanan sistem perusahaan, Komputasi Awan, Pencadangan, Pengarsipan Pemulihan, dan Remanensi Data (22.1.26. C.01.) | [rds-dalam-rencana cadangan](rds-in-backup-plan.md) | Untuk membantu proses pencadangan data, pastikan instans Amazon Relational Database Service (RDS) Anda merupakan bagian dari paket AWS Backup. AWS Backup adalah layanan pencadangan yang dikelola sepenuhnya dengan solusi pencadangan berbasis kebijakan. Solusi ini menyederhanakan manajemen cadangan Anda dan memungkinkan Anda memenuhi persyaratan kepatuhan cadangan bisnis dan peraturan Anda. Pengecualian tersedia ketika solusi pemulihan kompensasi telah dikonfigurasi. |
| 4849 | Keamanan sistem perusahaan, Komputasi Awan, Pencadangan, Pengarsipan Pemulihan, dan Remanensi Data (22.1.26. C.01.) | [s3-bucket-versioning-diaktifkan](s3-bucket-versioning-enabled.md) | Pembuatan versi bucket Amazon Simple Storage Service (Amazon S3) membantu menyimpan beberapa varian objek dalam bucket Amazon S3 yang sama. Gunakan pembuatan versi untuk mempertahankan, mengambil, dan memulihkan setiap versi dari setiap objek yang disimpan di bucket Amazon S3 Anda. Pembuatan versi membantu Anda memulihkan dengan mudah dari tindakan pengguna yang tidak diinginkan dan kegagalan aplikasi. Pengecualian tersedia ketika hanya satu varian objek yang akan dibuat, atau ketika solusi pemulihan kompensasi telah dikonfigurasi. |
| 7466 | Keamanan Cloud Publik, Perlindungan Data di Cloud Publik, Aksesibilitas data (23.4.10. C.01.) | [alb-waf-enabled](alb-waf-enabled.md) | Pastikan AWS WAF diaktifkan pada Elastic Load Balancers (ELB) untuk membantu melindungi aplikasi web. WAF membantu melindungi aplikasi web atau API Anda dari eksploitasi web umum. Eksploitasi web ini dapat memengaruhi ketersediaan, membahayakan keamanan, atau mengkonsumsi sumber daya yang berlebihan di lingkungan Anda. |
| 7466 | Keamanan Cloud Publik, Perlindungan Data di Cloud Publik, Aksesibilitas data (23.4.10. C.01.) | [api-gw-associated-with-waf](api-gw-associated-with-waf.md) | Kontrol ini memeriksa apakah tahap API Gateway menggunakan daftar kontrol akses web (ACL) AWS WAF. Kontrol ini gagal jika AWS WAF Regional web ACL tidak dilampirkan ke tahap REST API Gateway. AWS WAF adalah firewall aplikasi web yang membantu melindungi aplikasi web dan API dari serangan. Ini memungkinkan Anda untuk mengonfigurasi ACL, yang merupakan seperangkat aturan yang memungkinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan kondisi keamanan web yang dapat disesuaikan yang Anda tentukan. Pastikan tahap API Gateway Anda dikaitkan dengan AWS WAF web ACL untuk membantu melindunginya dari serangan berbahaya. Pengecualian tersedia jika API Gateway adalah asal untuk CloudFront distribusi dengan WAF diaktifkan. |
## Templat
```
##################################################################################
#
# Conformance Pack:
# Operational Best Practices for NZISM Extension
#
# This conformance pack helps verify compliance with NZISM requirements.
#
##################################################################################
Resources:
AlbWafEnabled:
Condition: checkAlbWafEnabled
Controls: [ '3562', '4333', '7466' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: alb-waf-enabled
Scope:
ComplianceResourceTypes:
- AWS::ElasticLoadBalancingV2::LoadBalancer
Source:
Owner: AWS
SourceIdentifier: ALB_WAF_ENABLED
Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 20.3.7.C.02[CID:4333], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Data management/Conten..."
ApiGwAssociatedWithWaf:
Condition: checkApiGwAssociatedWithWaf
Controls: [ '3562', '4333', '7466' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: api-gw-associated-with-waf
Source:
Owner: AWS
SourceIdentifier: API_GW_ASSOCIATED_WITH_WAF
Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 20.3.7.C.02[CID:4333], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Data management/Conten..."
ApiGwCacheEnabledAndEncrypted:
Condition: checkApiGwCacheEnabledAndEncrypted
Controls: [ '2082' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: api-gw-cache-enabled-and-encrypted
Scope:
ComplianceResourceTypes:
- AWS::ApiGateway::Stage
Source:
Owner: AWS
SourceIdentifier: API_GW_CACHE_ENABLED_AND_ENCRYPTED
Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements"
DynamodbInBackupPlan:
Condition: checkDynamodbInBackupPlan
Controls: [ '4849' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: dynamodb-in-backup-plan
Source:
Owner: AWS
SourceIdentifier: DYNAMODB_IN_BACKUP_PLAN
Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
EbsInBackupPlan:
Condition: checkEbsInBackupPlan
Controls: [ '4849' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: ebs-in-backup-plan
Source:
Owner: AWS
SourceIdentifier: EBS_IN_BACKUP_PLAN
Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
EfsInBackupPlan:
Condition: checkEfsInBackupPlan
Controls: [ '4849' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: efs-in-backup-plan
Source:
Owner: AWS
SourceIdentifier: EFS_IN_BACKUP_PLAN
Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
RdsClusterMultiAzEnabled:
Condition: checkRdsClusterMultiAzEnabled
Controls: [ '4829' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: rds-cluster-multi-az-enabled
Scope:
ComplianceResourceTypes:
- AWS::RDS::DBCluster
Source:
Owner: AWS
SourceIdentifier: RDS_CLUSTER_MULTI_AZ_ENABLED
Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability"
RdsInBackupPlan:
Condition: checkRdsInBackupPlan
Controls: [ '4849' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: rds-in-backup-plan
Source:
Owner: AWS
SourceIdentifier: RDS_IN_BACKUP_PLAN
Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
RdsMultiAzSupport:
Condition: checkRdsMultiAzSupport
Controls: [ '4829' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: rds-multi-az-support
Scope:
ComplianceResourceTypes:
- AWS::RDS::DBInstance
Source:
Owner: AWS
SourceIdentifier: RDS_MULTI_AZ_SUPPORT
Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability"
S3BucketVersioningEnabled:
Condition: checkS3BucketVersioningEnabled
Controls: [ '4849' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: s3-bucket-versioning-enabled
Scope:
ComplianceResourceTypes:
- AWS::S3::Bucket
Source:
Owner: AWS
SourceIdentifier: S3_BUCKET_VERSIONING_ENABLED
Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
S3DefaultEncryptionKms:
Condition: checkS3DefaultEncryptionKms
Controls: [ '2082' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: s3-default-encryption-kms
Scope:
ComplianceResourceTypes:
- AWS::S3::Bucket
Source:
Owner: AWS
SourceIdentifier: S3_DEFAULT_ENCRYPTION_KMS
Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements"
SnsEncryptedKms:
Condition: checkSnsEncryptedKms
Controls: [ '4839' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: sns-encrypted-kms
Scope:
ComplianceResourceTypes:
- AWS::SNS::Topic
Source:
Owner: AWS
SourceIdentifier: SNS_ENCRYPTED_KMS
Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access"
```