Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Praktik Terbaik Operasional untuk NZISM 3.9 (Transisi NZ)
Paket kesesuaian menyediakan kerangka kerja kepatuhan tujuan umum yang dirancang untuk memungkinkan Anda membuat pemeriksaan tata kelola keamanan, operasional, atau pengoptimalan biaya menggunakan aturan dan tindakan remediasi terkelola atau khusus. AWS Config AWS Config Paket Kesesuaian, sebagai contoh templat, tidak dirancang untuk sepenuhnya memastikan kepatuhan terhadap tata kelola atau standar kepatuhan tertentu. Anda bertanggung jawab untuk membuat penilaian sendiri tentang apakah penggunaan Layanan oleh Anda memenuhi persyaratan hukum dan peraturan yang berlaku.
Berikut ini memberikan contoh pemetaan antara Manual Keamanan Informasi (NZISM) Biro Keamanan Komunikasi Pemerintah Selandia Baru (GCSB) 2025-11 Versi 3.9
Templat paket kesesuaian sampel ini berisi pemetaan ke kontrol dalam kerangka kerja NZISM, yang merupakan bagian integral dari kerangka Persyaratan Keamanan Pelindung (PSR) yang menetapkan harapan Pemerintah Selandia Baru untuk pengelolaan personel, informasi, dan keamanan fisik.
Bagian Foundation dari paket kesesuaian ini dapat dikerahkan ke Sydney dan wilayah global. Bagian Transisi NZ berisi subset aturan Foundation Config yang saat ini tersedia di wilayah Selandia Baru. Bagian Foundation saat ini tidak akan dikerahkan ke wilayah Selandia Baru. Bagian Ekstensi dari paket kesesuaian ini dapat dikerahkan ke wilayah Sydney dan Selandia Baru untuk menambah aturan Konfigurasi yang disediakan di bagian Foundation dan NZ Transisi.
NZISM dilisensikan di bawah lisensi Creative Commons Attribution 4.0 Selandia Baru, tersedia di. https://creativecommons.org/licenses/by/4.0/
| ID Kontrol | Deskripsi Kontrol | Aturan AWS Config | Bimbingan |
|---|---|---|---|
| 1661 | Keamanan perangkat lunak, Pengembangan Aplikasi Web, konten situs web agensi (14.5.6. C.01.) | Kontrol ini memeriksa apakah CloudFront distribusi Amazon dikonfigurasi untuk mengembalikan objek tertentu yang merupakan objek root default. Kontrol gagal jika CloudFront distribusi tidak memiliki objek root default yang dikonfigurasi. Pengguna terkadang meminta URL root distribusi alih-alih objek dalam distribusi. Ketika ini terjadi, menentukan objek root default dapat membantu Anda menghindari mengekspos konten distribusi web Anda. Aturan ini harus diterapkan di wilayah us-east-1. Terapkan dengan parameter template DeployEdgeRules = true | |
| 1667 | Keamanan perangkat lunak, Pengembangan Aplikasi Web, Aplikasi Web (14.5.8. C.01.) | Pastikan integritas jaringan dilindungi dengan memastikan sertifikat X509 dikeluarkan oleh AWS ACM. Sertifikat ini harus valid dan belum kedaluwarsa. Aturan ini membutuhkan nilai selama berhari-hariToExpiration. Nilainya 30 hari. | |
| 1667 | Keamanan perangkat lunak, Pengembangan Aplikasi Web, Aplikasi Web (14.5.8. C.01.) | Pastikan Elastic Load Balancers (ELB) Anda dikonfigurasi dengan pendengar SSL atau HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| 1847 | Kontrol Akses dan Kata Sandi, Identifikasi, Otentikasi dan Kata Sandi, Melindungi data otentikasi dalam perjalanan (16.1.37. C.01.) | Untuk membantu melindungi data dalam perjalanan, pastikan bahwa Application Load Balancer Anda secara otomatis mengalihkan permintaan HTTP yang tidak terenkripsi ke HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| 1847 | Kontrol Akses dan Kata Sandi, Identifikasi, Otentikasi dan Kata Sandi, Melindungi data otentikasi dalam perjalanan (16.1.37. C.01.) | Kontrol ini memeriksa apakah CloudFront distribusi Amazon mengharuskan pemirsa untuk menggunakan HTTPS secara langsung atau menggunakan pengalihan. Kontrol gagal jika ViewerProtocolPolicy disetel ke allow-all untuk default CacheBehavior atau untuk cacheBehaviors. HTTPS (TLS) dapat digunakan untuk membantu mencegah penyerang potensial menggunakan serangan person-in-the-middle atau serupa untuk menguping atau memanipulasi lalu lintas jaringan. Hanya koneksi terenkripsi melalui HTTPS (TLS) yang diizinkan. Aturan ini harus diterapkan di wilayah us-east-1. Terapkan dengan parameter template DeployEdgeRules = true | |
| 1847 | Kontrol Akses dan Kata Sandi, Identifikasi, Otentikasi dan Kata Sandi, Melindungi data otentikasi dalam perjalanan (16.1.37. C.01.) | Kontrol ini memeriksa apakah domain Elasticsearch mengaktifkan enkripsi node-to-node. Kontrol ini gagal jika enkripsi node-to-node dinonaktifkan pada domain. HTTPS (TLS) dapat digunakan untuk membantu mencegah penyerang potensial menguping atau memanipulasi lalu lintas jaringan menggunakan serangan person-in-the-middle atau serupa. Hanya koneksi terenkripsi melalui HTTPS (TLS) yang diizinkan. Mengaktifkan enkripsi node-to-node untuk domain Elasticsearch memastikan bahwa komunikasi intra-cluster dienkripsi dalam perjalanan. | |
| 1847 | Kontrol Akses dan Kata Sandi, Identifikasi, Otentikasi dan Kata Sandi, Melindungi data otentikasi dalam perjalanan (16.1.37. C.01.) | Pastikan Elastic Load Balancers (ELB) Anda dikonfigurasi dengan pendengar SSL atau HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| 1998 | Kontrol Akses dan Kata Sandi, Pencatatan Acara dan Audit, Memelihara log manajemen sistem (16.6.6. C.02.) | Anda harus mengonfigurasi CloudTrail dengan CloudWatch Log untuk memantau log jejak Anda dan diberi tahu saat aktivitas tertentu terjadi. Aturan ini memeriksa apakah AWS CloudTrail trails dikonfigurasi untuk mengirim log ke CloudWatch log Amazon. | |
| 1998 | Kontrol Akses dan Kata Sandi, Pencatatan Acara dan Audit, Memelihara log manajemen sistem (16.6.6. C.02.) | AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun AWS yang disebut layanan AWS, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam AWS CloudTrail Record Contents. | |
| 1998 | Kontrol Akses dan Kata Sandi, Pencatatan Acara dan Audit, Memelihara log manajemen sistem (16.6.6. C.02.) | Pastikan durasi minimum data log peristiwa disimpan untuk grup log Anda untuk membantu pemecahan masalah dan investigasi forensik. Kurangnya data log peristiwa masa lalu yang tersedia membuat sulit untuk merekonstruksi dan mengidentifikasi peristiwa yang berpotensi berbahaya. Retensi minimum adalah 18 bulan. | |
| 2013 | Kontrol Akses dan Kata Sandi, Pencatatan dan Audit Peristiwa, Peristiwa tambahan yang akan dicatat (16.6.10. C.02.) | Kontrol ini memeriksa apakah pencatatan akses server diaktifkan pada CloudFront distribusi. Kontrol gagal jika pencatatan akses tidak diaktifkan untuk distribusi. CloudFront log akses memberikan informasi rinci tentang setiap permintaan pengguna yang CloudFront menerima. Setiap log berisi informasi seperti tanggal dan waktu permintaan diterima, alamat IP penampil yang membuat permintaan, sumber permintaan, dan nomor port permintaan dari penampil. Log ini berguna untuk aplikasi seperti audit keamanan dan akses dan investigasi forensik. Aturan ini harus diterapkan di wilayah us-east-1. Terapkan dengan parameter template DeployEdgeRules = true | |
| 2013 | Kontrol Akses dan Kata Sandi, Pencatatan dan Audit Peristiwa, Peristiwa tambahan yang akan dicatat (16.6.10. C.02.) | AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun AWS yang disebut layanan AWS, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam AWS CloudTrail Record Contents. | |
| 2013 | Kontrol Akses dan Kata Sandi, Pencatatan dan Audit Peristiwa, Peristiwa tambahan yang akan dicatat (16.6.10. C.02.) | Aktivitas Elastic Load Balancing adalah titik pusat komunikasi dalam suatu lingkungan. Pastikan pencatatan ELB diaktifkan. Data yang dikumpulkan memberikan informasi rinci tentang permintaan yang dikirim ke ELB. Setiap log berisi informasi, seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server. | |
| 2013 | Kontrol Akses dan Kata Sandi, Pencatatan dan Audit Peristiwa, Peristiwa tambahan yang akan dicatat (16.6.10. C.02.) | Untuk membantu pencatatan dan pemantauan di lingkungan Anda, pastikan pencatatan Amazon Relational Database Service (Amazon RDS) diaktifkan. Dengan pencatatan Amazon RDS, Anda dapat menangkap peristiwa seperti koneksi, pemutusan sambungan, kueri, atau tabel yang ditanyakan. | |
| 2022 | Kontrol Akses dan Kata Sandi, Pencatatan dan Audit Peristiwa, Perlindungan log peristiwa (16.6.12. C.01.) | Manfaatkan validasi file CloudTrail log AWS untuk memeriksa integritas CloudTrail log. Validasi file log membantu menentukan apakah file log diubah atau dihapus atau tidak diubah setelah CloudTrail dikirimkan. Fitur ini dibangun menggunakan algoritma standar industri: SHA-256 untuk hashing dan SHA-256 dengan RSA untuk penandatanganan digital. Ini membuatnya secara komputasi tidak layak untuk memodifikasi, menghapus atau memalsukan CloudTrail file log tanpa deteksi. | |
| 2022 | Kontrol Akses dan Kata Sandi, Pencatatan dan Audit Peristiwa, Perlindungan log peristiwa (16.6.12. C.01.) | Untuk membantu melindungi data sensitif saat istirahat, pastikan enkripsi diaktifkan untuk Grup CloudWatch Log Amazon Anda. | |
| 2028 | Kontrol Akses dan Kata Sandi, Pencatatan dan Audit Acara, arsip log peristiwa (16.6.13. C.01.) | Pastikan durasi minimum data log peristiwa disimpan untuk grup log Anda untuk membantu pemecahan masalah dan investigasi forensik. Kurangnya data log peristiwa masa lalu yang tersedia membuat sulit untuk merekonstruksi dan mengidentifikasi peristiwa yang berpotensi berbahaya. Retensi minimum adalah 18 bulan. | |
| 2082 | Kriptografi, Dasar-dasar Kriptografi, Mengurangi penyimpanan dan persyaratan transfer fisik (17.1.53. C.04.) | Karena data sensitif mungkin ada dan untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk CloudTrail jalur AWS Anda. | |
| 2082 | Kriptografi, Dasar-dasar Kriptografi, Mengurangi penyimpanan dan persyaratan transfer fisik (17.1.53. C.04.) | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (Amazon EBS). Karena data sensitif dapat ada saat diam dalam volume ini, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 2082 | Kriptografi, Dasar-dasar Kriptografi, Mengurangi penyimpanan dan persyaratan transfer fisik (17.1.53. C.04.) | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk Amazon Elastic File System (EFS) Anda. | |
| 2082 | Kriptografi, Dasar-dasar Kriptografi, Mengurangi penyimpanan dan persyaratan transfer fisik (17.1.53. C.04.) | Kontrol ini memeriksa apakah domain Elasticsearch mengaktifkan konfigurasi enkripsi saat istirahat. Pemeriksaan gagal jika enkripsi saat istirahat tidak diaktifkan. Untuk lapisan keamanan tambahan untuk data sensitif, Anda harus mengonfigurasi domain Layanan Elasticsearch Anda untuk dienkripsi saat istirahat. Saat Anda mengonfigurasi enkripsi data saat istirahat, Amazon Key Management Service (KMS) menyimpan dan mengelola kunci enkripsi Anda. Untuk melakukan enkripsi, AWS KMS menggunakan algoritma Advanced Encryption Standard dengan kunci 256-bit (). AES-256 | |
| 2082 | Kriptografi, Dasar-dasar Kriptografi, Mengurangi penyimpanan dan persyaratan transfer fisik (17.1.53. C.04.) | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (Amazon EBS) Anda. | |
| 2082 | Kriptografi, Dasar-dasar Kriptografi, Mengurangi penyimpanan dan persyaratan transfer fisik (17.1.53. C.04.) | Pastikan enkripsi diaktifkan untuk snapshot Amazon Relational Database Service (Amazon RDS) Anda. Karena data sensitif dapat ada saat istirahat, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 2082 | Kriptografi, Dasar-dasar Kriptografi, Mengurangi penyimpanan dan persyaratan transfer fisik (17.1.53. C.04.) | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk instans Amazon Relational Database Service (Amazon RDS) Anda. Karena data sensitif dapat ada saat diam di instans Amazon RDS, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 2082 | Kriptografi, Dasar-dasar Kriptografi, Mengurangi penyimpanan dan persyaratan transfer fisik (17.1.53. C.04.) | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk bucket Amazon Simple Storage Service (Amazon S3). Karena data sensitif dapat ada saat diam di bucket Amazon S3, aktifkan enkripsi untuk membantu melindungi data tersebut. | |
| 2090 | Kriptografi, Dasar-dasar Kriptografi, Perlindungan Informasi dan Sistem (17.1.55. C.02.) | Untuk membantu melindungi data dalam perjalanan, pastikan bahwa Application Load Balancer Anda secara otomatis mengalihkan permintaan HTTP yang tidak terenkripsi ke HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| 2090 | Kriptografi, Dasar-dasar Kriptografi, Perlindungan Informasi dan Sistem (17.1.55. C.02.) | Pastikan Elastic Load Balancers (ELB) Anda dikonfigurasi dengan pendengar SSL atau HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| 2090 | Kriptografi, Dasar-dasar Kriptografi, Perlindungan Informasi dan Sistem (17.1.55. C.02.) | Pastikan klaster Amazon Redshift Anda memerlukan TLS/SSL enkripsi untuk terhubung ke klien SQL. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| 2598 | Kriptografi, Keamanan Lapisan Transport, Menggunakan TLS (17.4.16. C.01.) | Untuk membantu melindungi data dalam perjalanan, pastikan pendengar ElasticLoadBalancer SSL Klasik Anda menggunakan kebijakan keamanan khusus. Kebijakan ini dapat menyediakan berbagai algoritma kriptografi berkekuatan tinggi untuk membantu memastikan komunikasi jaringan terenkripsi antar sistem. Aturan ini mengharuskan Anda menetapkan kebijakan keamanan khusus untuk pendengar SSL Anda. Kebijakan keamanannya adalah: Protocol-TLSv1.2,ECDHE-ECDSA-AES256-GCM-SHA384. | |
| 2600 | Kriptografi, Keamanan Lapisan Transport, Menggunakan TLS (17.4.16. C.02.) | Untuk membantu melindungi data dalam perjalanan, pastikan pendengar ElasticLoadBalancer SSL Klasik Anda menggunakan kebijakan keamanan khusus. Kebijakan ini dapat menyediakan berbagai algoritma kriptografi berkekuatan tinggi untuk membantu memastikan komunikasi jaringan terenkripsi antar sistem. Aturan ini mengharuskan Anda menetapkan kebijakan keamanan khusus untuk pendengar SSL Anda. Kebijakan keamanan default adalah: Protocol-TLSv1.2,ECDHE-ECDSA-AES256-GCM-SHA384. | |
| 2726 | Kriptografi, Secure Shell, Akses jarak jauh otomatis (17.5.8. C.02.) | Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu mengelola akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya AWS. Tidak mengizinkan lalu lintas masuk (atau jarak jauh) dari 0.0.0. 0/0 ke port 22 pada sumber daya Anda membantu Anda membatasi akses jarak jauh. | |
| 3021 | Kriptografi, Manajemen Kunci, Isi KMP (17.9.25. C.01.) | Amazon Key Management Service (KMS) memungkinkan pelanggan untuk memutar kunci dukungan, yang merupakan materi kunci yang disimpan di AWS KMS dan terkait dengan ID kunci CMK. Ini adalah kunci pendukung yang digunakan untuk melakukan operasi kriptografi seperti enkripsi dan dekripsi. Rotasi kunci otomatis saat ini mempertahankan semua kunci pendukung sebelumnya sehingga dekripsi data terenkripsi dapat berlangsung secara transparan. Memutar kunci enkripsi membantu mengurangi dampak potensial dari kunci yang dikompromikan karena data yang dienkripsi dengan kunci baru tidak dapat diakses dengan kunci sebelumnya yang mungkin telah diekspos. | |
| 3205 | Keamanan jaringan, Manajemen Jaringan, Membatasi akses jaringan (18.1.13. C.02.) | Kelola akses ke sumber daya di AWS Cloud dengan memastikan port umum dibatasi pada Grup Keamanan Amazon Elastic Compute Cloud (Amazon EC2). Tidak membatasi akses pada port ke sumber tepercaya dapat menyebabkan serangan terhadap ketersediaan, integritas, dan kerahasiaan sistem. Dengan membatasi akses ke sumber daya dalam grup keamanan dari internet (0.0.0. 0/0) akses jarak jauh dapat dikontrol ke sistem internal. Daftar port Internet resmi adalah: 443 saja | |
| 3449 | Keamanan Produk, Penambalan dan Pembaruan Produk, Menambal kerentanan dalam produk (12.4.4. C.02.) | Aturan ini memastikan bahwa klaster Amazon Redshift memiliki pengaturan yang diinginkan untuk organisasi Anda. Secara khusus, bahwa mereka lebih menyukai jendela pemeliharaan dan periode retensi snapshot otomatis untuk database. Aturan ini menetapkan memungkinkan VersionUpgrade untuk TRUE. | |
| 3452 | Keamanan Produk, Penambalan dan Pembaruan Produk, Menambal kerentanan dalam produk (12.4.4. C.05.) | Kontrol ini memeriksa apakah upgrade versi minor otomatis diaktifkan untuk instance database RDS. Mengaktifkan upgrade versi minor otomatis memastikan bahwa pembaruan versi minor terbaru ke sistem manajemen basis data relasional (RDBMS) diinstal. Upgrade ini mungkin termasuk patch keamanan dan perbaikan bug. Tetap up to date dengan instalasi patch adalah langkah penting dalam mengamankan sistem. | |
| 3453 | Keamanan Produk, Penambalan dan Pembaruan Produk, Menambal kerentanan dalam produk (12.4.4. C.06.) | Aturan ini memastikan bahwa klaster Amazon Redshift memiliki pengaturan yang diinginkan untuk organisasi Anda. Secara khusus, bahwa mereka lebih menyukai jendela pemeliharaan dan periode retensi snapshot otomatis untuk database. Aturan ini menetapkan memungkinkan VersionUpgrade untuk TRUE. | |
| 3562 | Keamanan gateway, Gateway, Konfigurasi gateway (19.1.12. C.01.) | Kontrol ini memeriksa apakah CloudFront distribusi terkait dengan AWS WAF atau AWS WAFv2 web ACL. Kontrol gagal jika distribusi tidak terkait dengan ACL web. AWS WAF adalah firewall aplikasi web yang membantu melindungi aplikasi web dan API dari serangan. Ini memungkinkan Anda untuk mengonfigurasi seperangkat aturan, yang disebut daftar kontrol akses web (web ACL), yang memungkinkan, memblokir, atau menghitung permintaan web berdasarkan aturan dan kondisi keamanan web yang dapat disesuaikan yang Anda tentukan. Pastikan CloudFront distribusi Anda dikaitkan dengan AWS WAF web ACL untuk membantu melindunginya dari serangan berbahaya. Aturan ini harus diterapkan di wilayah us-east-1. Terapkan dengan parameter template DeployEdgeRules = true | |
| 3562 | Keamanan gateway, Gateway, Konfigurasi gateway (19.1.12. C.01.) | Kelola akses ke AWS Cloud dengan memastikan instans replikasi AWS Database Migration Service (DMS) tidak dapat diakses publik. Instans replikasi DMS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| 3562 | Keamanan gateway, Gateway, Konfigurasi gateway (19.1.12. C.01.) | Pastikan metode Instance Metadata Service Version 2 (IMDSv2) diaktifkan untuk membantu melindungi akses dan kontrol metadata instans Amazon Elastic Compute Cloud (Amazon EC2). Metode IMDSv2 menggunakan kontrol berbasis sesi. Dengan IMDSv2, kontrol dapat diimplementasikan untuk membatasi perubahan metadata instance. | |
| 3562 | Keamanan gateway, Gateway, Konfigurasi gateway (19.1.12. C.01.) | Kelola akses ke AWS Cloud dengan memastikan instans Amazon Elastic Compute Cloud (Amazon EC2) tidak dapat diakses publik. Instans Amazon EC2 dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| 3562 | Keamanan gateway, Gateway, Konfigurasi gateway (19.1.12. C.01.) | Terapkan instans Amazon Elastic Compute Cloud (Amazon EC2) dalam Amazon Virtual Private Cloud (Amazon VPC) untuk memungkinkan komunikasi aman antara instans dan layanan lain dalam VPC amazon, tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Tetapkan instans Amazon EC2 ke VPC Amazon untuk mengelola akses dengan benar. | |
| 3562 | Keamanan gateway, Gateway, Konfigurasi gateway (19.1.12. C.01.) | Kontrol ini memeriksa apakah domain Elasticsearch berada di cloud pribadi virtual (VPC). Itu tidak mengevaluasi konfigurasi perutean subnet VPC untuk menentukan akses publik. Anda harus memastikan bahwa domain Elasticsearch tidak dilampirkan ke subnet publik. Domain Elasticsearch yang digunakan dalam VPC dapat berkomunikasi dengan sumber daya VPC melalui jaringan AWS pribadi, tanpa perlu melintasi internet publik. Konfigurasi ini meningkatkan postur keamanan dengan membatasi akses ke data dalam perjalanan. VPC menyediakan sejumlah kontrol jaringan untuk mengamankan akses ke domain Elasticsearch, termasuk ACL jaringan dan grup keamanan | |
| 3562 | Keamanan gateway, Gateway, Konfigurasi gateway (19.1.12. C.01.) | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut. | |
| 3562 | Keamanan gateway, Gateway, Konfigurasi gateway (19.1.12. C.01.) | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| 3562 | Keamanan gateway, Gateway, Konfigurasi gateway (19.1.12. C.01.) | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses secara publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini menetapkan abaikan PublicAcls ke TRUE, blokir PublicPolicy ke TRUE, blokir PublicAcls ke TRUE, dan batasi PublicBuckets ke TRUE. | |
| 3562 | Keamanan gateway, Gateway, Konfigurasi gateway (19.1.12. C.01.) | Grup keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu dalam pengelolaan akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya AWS. Membatasi semua lalu lintas pada grup keamanan default membantu membatasi akses jarak jauh ke sumber daya AWS Anda. | |
| 3562 | Keamanan gateway, Gateway, Konfigurasi gateway (19.1.12. C.01.) | Log aliran virtual private cloud (VPC) menyediakan catatan terperinci untuk informasi tentang lalu lintas IP yang menuju dan dari antarmuka jaringan di VPC Amazon Anda. Secara default, catatan log aliran mencakup nilai untuk berbagai komponen aliran IP, termasuk sumber, tujuan, dan protokol. | |
| 3623 | Keamanan gerbang, Gateway, zona demiliterisasi (19.1.14. C.02.) | Kontrol ini memeriksa apakah domain Elasticsearch berada di cloud pribadi virtual (VPC). Itu tidak mengevaluasi konfigurasi perutean subnet VPC untuk menentukan akses publik. Anda harus memastikan bahwa domain Elasticsearch tidak dilampirkan ke subnet publik. Domain Elasticsearch yang digunakan dalam VPC dapat berkomunikasi dengan sumber daya VPC melalui jaringan AWS pribadi, tanpa perlu melintasi internet publik. Konfigurasi ini meningkatkan postur keamanan dengan membatasi akses ke data dalam perjalanan. VPC menyediakan sejumlah kontrol jaringan untuk mengamankan akses ke domain Elasticsearch, termasuk ACL jaringan dan grup keamanan | |
| 3623 | Keamanan gerbang, Gateway, zona demiliterisasi (19.1.14. C.02.) | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut. | |
| 3623 | Keamanan gerbang, Gateway, zona demiliterisasi (19.1.14. C.02.) | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| 3875 | Keamanan jaringan, Deteksi dan Pencegahan Intrusi, Manajemen dan korelasi peristiwa (18.4.12. C.01.) | AWS Security Hub membantu memantau personel, koneksi, perangkat, dan perangkat lunak yang tidak sah. AWS Security Hub mengumpulkan, mengatur, dan memprioritaskan peringatan keamanan, atau temuan, dari beberapa layanan AWS. Beberapa layanan tersebut adalah Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management (IAM) Access Analyzer, dan AWS Firewall Manager, dan solusi AWS Partner. | |
| 4441 | Manajemen data, Database, File database (20.4.4. C.02.) | Kontrol ini memeriksa apakah domain Elasticsearch mengaktifkan konfigurasi enkripsi saat istirahat. Pemeriksaan gagal jika enkripsi saat istirahat tidak diaktifkan. Untuk lapisan keamanan tambahan untuk data sensitif, Anda harus mengonfigurasi domain Layanan Elasticsearch Anda untuk dienkripsi saat istirahat. Saat Anda mengonfigurasi enkripsi data saat istirahat, Amazon Key Management Service (KMS) menyimpan dan mengelola kunci enkripsi Anda. Untuk melakukan enkripsi, AWS KMS menggunakan algoritma Advanced Encryption Standard dengan kunci 256-bit (). AES-256 | |
| 4441 | Manajemen data, Database, File database (20.4.4. C.02.) | Untuk membantu pencatatan dan pemantauan di lingkungan Anda, pastikan pencatatan Amazon Relational Database Service (Amazon RDS) diaktifkan. Dengan pencatatan Amazon RDS, Anda dapat menangkap peristiwa seperti koneksi, pemutusan sambungan, kueri, atau tabel yang ditanyakan. | |
| 4441 | Manajemen data, Database, File database (20.4.4. C.02.) | Pastikan enkripsi diaktifkan untuk snapshot Amazon Relational Database Service (Amazon RDS) Anda. Karena data sensitif dapat ada saat istirahat, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 4441 | Manajemen data, Database, File database (20.4.4. C.02.) | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| 4441 | Manajemen data, Database, File database (20.4.4. C.02.) | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk instans Amazon Relational Database Service (Amazon RDS) Anda. Karena data sensitif dapat ada saat diam di instans Amazon RDS, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 4441 | Manajemen data, Database, File database (20.4.4. C.02.) | Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini menetapkan cluster DbEncrypted ke TRUE, dan LoggingEnabled ke TRUE. | |
| 4445 | Manajemen data, Database, Akuntabilitas (20.4.5. C.02.) | Untuk membantu pencatatan dan pemantauan di lingkungan Anda, pastikan pencatatan Amazon Relational Database Service (Amazon RDS) diaktifkan. Dengan pencatatan Amazon RDS, Anda dapat menangkap peristiwa seperti koneksi, pemutusan sambungan, kueri, atau tabel yang ditanyakan. | |
| 4445 | Manajemen data, Database, Akuntabilitas (20.4.5. C.02.) | Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini menetapkan cluster DbEncrypted ke TRUE, dan LoggingEnabled ke TRUE. | |
| 4829 | Keamanan sistem perusahaan, Komputasi Awan, Ketersediaan Sistem (22.1.23. C.01.) | Penskalaan otomatis Amazon DynamoDB menggunakan layanan AWS Application Auto Scaling untuk menyesuaikan kapasitas throughput yang disediakan yang secara otomatis merespons pola lalu lintas aktual. Ini memungkinkan tabel atau indeks sekunder global untuk meningkatkan read/write kapasitas yang disediakan untuk menangani peningkatan lalu lintas yang tiba-tiba, tanpa pembatasan. | |
| 4829 | Keamanan sistem perusahaan, Komputasi Awan, Ketersediaan Sistem (22.1.23. C.01.) | Aktifkan penyeimbangan beban lintas zona untuk Elastic Load Balancers (ELB) Anda untuk membantu menjaga kapasitas dan ketersediaan yang memadai. Penyeimbangan beban lintas zona mengurangi kebutuhan untuk mempertahankan jumlah instance yang setara di setiap zona ketersediaan yang diaktifkan. Ini juga meningkatkan kemampuan aplikasi Anda untuk menangani hilangnya satu atau lebih instance. | |
| 4838 | Keamanan sistem perusahaan, Komputasi Awan, Akses Tidak Sah (22.1.24. C.03.) | Pengumpulan peristiwa data Simple Storage Service (Amazon S3) membantu mendeteksi aktivitas anomali apa pun. Detailnya mencakup informasi akun AWS yang mengakses bucket Amazon S3, alamat IP, dan waktu acara. | |
| 4838 | Keamanan sistem perusahaan, Komputasi Awan, Akses Tidak Sah (22.1.24. C.03.) | Kelola akses ke AWS Cloud dengan memastikan snapshot Amazon Elastic Block Store (EBS) tidak dapat dipulihkan secara publik. Snapshot volume EBS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| 4838 | Keamanan sistem perusahaan, Komputasi Awan, Akses Tidak Sah (22.1.24. C.03.) | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses secara publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini menetapkan abaikan PublicAcls ke TRUE, blokir PublicPolicy ke TRUE, blokir PublicAcls ke TRUE, dan batasi PublicBuckets ke TRUE. | |
| 4838 | Keamanan sistem perusahaan, Komputasi Awan, Akses Tidak Sah (22.1.24. C.03.) | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| 4838 | Keamanan sistem perusahaan, Komputasi Awan, Akses Tidak Sah (22.1.24. C.03.) | Kelola akses ke sumber daya di AWS Cloud dengan hanya mengizinkan pengguna, proses, dan perangkat yang berwenang mengakses bucket Amazon Simple Storage Service (Amazon S3). Pengelolaan akses harus konsisten dengan klasifikasi data. | |
| 4839 | Keamanan sistem perusahaan, Komputasi Awan, Akses Tidak Sah (22.1.24. C.04.) | Pastikan enkripsi diaktifkan untuk tabel Amazon DynamoDB Anda. Karena data sensitif dapat ada saat diam di tabel ini, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. Secara default, tabel DynamoDB dienkripsi dengan kunci Amazon Key Management Service (KMS) milik AWS. | |
| 4839 | Keamanan sistem perusahaan, Komputasi Awan, Akses Tidak Sah (22.1.24. C.04.) | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk Amazon Elastic File System (EFS) Anda. | |
| 4839 | Keamanan sistem perusahaan, Komputasi Awan, Akses Tidak Sah (22.1.24. C.04.) | Kontrol ini memeriksa apakah domain Elasticsearch mengaktifkan konfigurasi enkripsi saat istirahat. Pemeriksaan gagal jika enkripsi saat istirahat tidak diaktifkan. Untuk lapisan keamanan tambahan untuk data sensitif, Anda harus mengonfigurasi domain Layanan Elasticsearch Anda untuk dienkripsi saat istirahat. Saat Anda mengonfigurasi enkripsi data saat istirahat, Amazon Key Management Service (KMS) menyimpan dan mengelola kunci enkripsi Anda. Untuk melakukan enkripsi, AWS KMS menggunakan algoritma Advanced Encryption Standard dengan kunci 256-bit (). AES-256 | |
| 4839 | Keamanan sistem perusahaan, Komputasi Awan, Akses Tidak Sah (22.1.24. C.04.) | Kontrol ini memeriksa apakah domain Elasticsearch mengaktifkan enkripsi node-to-node. Kontrol ini gagal jika enkripsi node-to-node dinonaktifkan pada domain. HTTPS (TLS) dapat digunakan untuk membantu mencegah penyerang potensial menguping atau memanipulasi lalu lintas jaringan menggunakan serangan person-in-the-middle atau serupa. Hanya koneksi terenkripsi melalui HTTPS (TLS) yang diizinkan. Mengaktifkan enkripsi node-to-node untuk domain Elasticsearch memastikan bahwa komunikasi intra-cluster dienkripsi dalam perjalanan. | |
| 4839 | Keamanan sistem perusahaan, Komputasi Awan, Akses Tidak Sah (22.1.24. C.04.) | Pastikan Elastic Load Balancers (ELB) Anda dikonfigurasi dengan pendengar SSL atau HTTPS. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| 4839 | Keamanan sistem perusahaan, Komputasi Awan, Akses Tidak Sah (22.1.24. C.04.) | Karena data sensitif dapat ada dan membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk volume Amazon Elastic Block Store (Amazon EBS) Anda. | |
| 4839 | Keamanan sistem perusahaan, Komputasi Awan, Akses Tidak Sah (22.1.24. C.04.) | Pastikan enkripsi diaktifkan untuk snapshot Amazon Relational Database Service (Amazon RDS) Anda. Karena data sensitif dapat ada saat istirahat, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 4839 | Keamanan sistem perusahaan, Komputasi Awan, Akses Tidak Sah (22.1.24. C.04.) | Untuk membantu melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk instans Amazon Relational Database Service (Amazon RDS) Anda. Karena data sensitif dapat ada saat diam di instans Amazon RDS, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 4839 | Keamanan sistem perusahaan, Komputasi Awan, Akses Tidak Sah (22.1.24. C.04.) | Untuk melindungi data saat istirahat, pastikan enkripsi diaktifkan untuk klaster Amazon Redshift Anda. Anda juga harus memastikan bahwa konfigurasi yang diperlukan diterapkan di klaster Amazon Redshift. Pencatatan audit harus diaktifkan untuk memberikan informasi tentang koneksi dan aktivitas pengguna dalam database. Aturan ini menetapkan cluster DbEncrypted ke TRUE, dan LoggingEnabled ke TRUE. | |
| 4839 | Keamanan sistem perusahaan, Komputasi Awan, Akses Tidak Sah (22.1.24. C.04.) | Pastikan klaster Amazon Redshift Anda memerlukan TLS/SSL enkripsi untuk terhubung ke klien SQL. Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| 4839 | Keamanan sistem perusahaan, Komputasi Awan, Akses Tidak Sah (22.1.24. C.04.) | Untuk membantu melindungi data dalam perjalanan, pastikan bucket Amazon Simple Storage Service (Amazon S3) Anda memerlukan permintaan untuk menggunakan Secure Socket Layer (SSL). Karena data sensitif dapat ada, aktifkan enkripsi dalam perjalanan untuk membantu melindungi data tersebut. | |
| 4839 | Keamanan sistem perusahaan, Komputasi Awan, Akses Tidak Sah (22.1.24. C.04.) | Untuk membantu melindungi data saat istirahat, pastikan enkripsi dengan AWS Key Management Service (AWS KMS) diaktifkan untuk rahasia AWS Secrets Manager. Karena data sensitif dapat ada saat diam di rahasia Secrets Manager, aktifkan enkripsi saat istirahat untuk membantu melindungi data tersebut. | |
| 4849 | Keamanan sistem perusahaan, Komputasi Awan, Pencadangan, Pengarsipan Pemulihan, dan Remanensi Data (22.1.26. C.01.) | Fitur cadangan Amazon Relational Database Service (RDS) membuat backup database dan log transaksi Anda. Amazon RDS secara otomatis membuat snapshot volume penyimpanan instans DB Anda, mencadangkan seluruh instans DB. Sistem ini memungkinkan Anda untuk mengatur periode retensi tertentu untuk memenuhi persyaratan ketahanan Anda. | |
| 4849 | Keamanan sistem perusahaan, Komputasi Awan, Pencadangan, Pengarsipan Pemulihan, dan Remanensi Data (22.1.26. C.01.) | Aktifkan aturan ini untuk memeriksa bahwa informasi telah dicadangkan. Ini juga mempertahankan cadangan dengan memastikan bahwa pemulihan point-in-time diaktifkan di Amazon DynamoDB. Pemulihan mempertahankan cadangan berkelanjutan dari tabel Anda selama 35 hari terakhir. | |
| 4849 | Keamanan sistem perusahaan, Komputasi Awan, Pencadangan, Pengarsipan Pemulihan, dan Remanensi Data (22.1.26. C.01.) | Saat pencadangan otomatis diaktifkan, Amazon ElastiCache membuat cadangan cluster setiap hari. Cadangan dapat disimpan selama beberapa hari seperti yang ditentukan oleh organisasi Anda. Pencadangan otomatis dapat membantu mencegah kehilangan data. Jika terjadi kegagalan, Anda dapat membuat cluster baru, yang mengembalikan data Anda dari cadangan terbaru. | |
| 4849 | Keamanan sistem perusahaan, Komputasi Awan, Pencadangan, Pengarsipan Pemulihan, dan Remanensi Data (22.1.26. C.01.) | Pastikan instans Amazon Relational Database Service (RDS) mengaktifkan perlindungan penghapusan. Gunakan perlindungan penghapusan untuk mencegah instans RDS Anda dihapus secara tidak sengaja atau berbahaya, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda. | |
| 4849 | Keamanan sistem perusahaan, Komputasi Awan, Pencadangan, Pengarsipan Pemulihan, dan Remanensi Data (22.1.26. C.01.) | Pastikan instans Amazon Relational Database Service (Amazon RDS) mengaktifkan perlindungan penghapusan. Gunakan perlindungan penghapusan untuk mencegah instans Amazon RDS Anda dihapus secara tidak sengaja atau berbahaya, yang dapat menyebabkan hilangnya ketersediaan untuk aplikasi Anda. | |
| 4849 | Keamanan sistem perusahaan, Komputasi Awan, Pencadangan, Pengarsipan Pemulihan, dan Remanensi Data (22.1.26. C.01.) | Untuk membantu proses pencadangan data, pastikan klaster Amazon Redshift Anda memiliki snapshot otomatis. Saat snapshot otomatis diaktifkan untuk klaster, Redshift secara berkala mengambil snapshot dari cluster tersebut. Secara default, Redshift mengambil snapshot setiap delapan jam atau setiap 5 GB per node perubahan data, atau mana yang lebih dulu. | |
| 6860 | Kontrol Akses dan Kata Sandi, Manajemen Akses Istimewa, Pemantauan dan Peninjauan (16.4.35. C.02.) | Anda harus mengonfigurasi CloudTrail dengan CloudWatch Log untuk memantau log jejak Anda dan diberi tahu saat aktivitas tertentu terjadi. Aturan ini memeriksa apakah AWS CloudTrail trails dikonfigurasi untuk mengirim log ke CloudWatch log Amazon. | |
| 6860 | Kontrol Akses dan Kata Sandi, Manajemen Akses Istimewa, Pemantauan dan Peninjauan (16.4.35. C.02.) | AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun AWS yang disebut layanan AWS, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam AWS CloudTrail Record Contents. | |
| 6861 | Kontrol Akses dan Kata Sandi, Manajemen Akses Istimewa, Pemantauan dan Peninjauan (16.4.35. C.03.) | Aturan ini membantu memastikan penggunaan praktik terbaik keamanan yang direkomendasikan AWS untuk AWS CloudTrail, dengan memeriksa pengaktifan beberapa pengaturan. Ini termasuk penggunaan enkripsi log, validasi log, dan mengaktifkan AWS CloudTrail di beberapa wilayah. | |
| 7466 | Keamanan Cloud Publik, Perlindungan Data di Cloud Publik, Aksesibilitas data (23.4.10. C.01.) | Kelola akses ke AWS Cloud dengan memastikan instans replikasi AWS Database Migration Service (DMS) tidak dapat diakses publik. Instans replikasi DMS dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| 7466 | Keamanan Cloud Publik, Perlindungan Data di Cloud Publik, Aksesibilitas data (23.4.10. C.01.) | Pastikan metode Instance Metadata Service Version 2 (IMDSv2) diaktifkan untuk membantu melindungi akses dan kontrol metadata instans Amazon Elastic Compute Cloud (Amazon EC2). Metode IMDSv2 menggunakan kontrol berbasis sesi. Dengan IMDSv2, kontrol dapat diimplementasikan untuk membatasi perubahan metadata instance. | |
| 7466 | Keamanan Cloud Publik, Perlindungan Data di Cloud Publik, Aksesibilitas data (23.4.10. C.01.) | Kelola akses ke AWS Cloud dengan memastikan instans Amazon Elastic Compute Cloud (Amazon EC2) tidak dapat diakses publik. Instans Amazon EC2 dapat berisi informasi sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| 7466 | Keamanan Cloud Publik, Perlindungan Data di Cloud Publik, Aksesibilitas data (23.4.10. C.01.) | Terapkan instans Amazon Elastic Compute Cloud (Amazon EC2) dalam Amazon Virtual Private Cloud (Amazon VPC) untuk memungkinkan komunikasi aman antara instans dan layanan lain dalam VPC Amazon, tanpa memerlukan gateway internet, perangkat NAT, atau koneksi VPN. Semua lalu lintas tetap aman di AWS Cloud. Karena isolasi logisnya, domain yang berada di dalam VPC Amazon memiliki lapisan keamanan ekstra jika dibandingkan dengan domain yang menggunakan titik akhir publik. Tetapkan instans Amazon EC2 ke VPC Amazon untuk mengelola akses dengan benar. | |
| 7466 | Keamanan Cloud Publik, Perlindungan Data di Cloud Publik, Aksesibilitas data (23.4.10. C.01.) | Kontrol ini memeriksa apakah domain Elasticsearch berada di cloud pribadi virtual (VPC). Itu tidak mengevaluasi konfigurasi perutean subnet VPC untuk menentukan akses publik. Anda harus memastikan bahwa domain Elasticsearch tidak dilampirkan ke subnet publik. Domain Elasticsearch yang digunakan dalam VPC dapat berkomunikasi dengan sumber daya VPC melalui jaringan AWS pribadi, tanpa perlu melintasi internet publik. Konfigurasi ini meningkatkan postur keamanan dengan membatasi akses ke data dalam perjalanan. VPC menyediakan sejumlah kontrol jaringan untuk mengamankan akses ke domain Elasticsearch, termasuk ACL jaringan dan grup keamanan | |
| 7466 | Keamanan Cloud Publik, Perlindungan Data di Cloud Publik, Aksesibilitas data (23.4.10. C.01.) | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa instans Amazon Relational Database Service (Amazon RDS) tidak bersifat publik. Instans database Amazon RDS dapat berisi informasi sensitif, dan prinsip serta kontrol akses diperlukan untuk akun tersebut. | |
| 7466 | Keamanan Cloud Publik, Perlindungan Data di Cloud Publik, Aksesibilitas data (23.4.10. C.01.) | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa klaster Amazon Redshift tidak bersifat publik. Cluster Amazon Redshift dapat berisi informasi dan prinsip sensitif dan kontrol akses diperlukan untuk akun tersebut. | |
| 7466 | Keamanan Cloud Publik, Perlindungan Data di Cloud Publik, Aksesibilitas data (23.4.10. C.01.) | Kelola akses ke sumber daya di AWS Cloud dengan memastikan bahwa bucket Amazon Simple Storage Service (Amazon S3) tidak dapat diakses secara publik. Aturan ini membantu menjaga keamanan data sensitif dari pengguna jarak jauh yang tidak sah dengan mencegah akses publik. Aturan ini menetapkan abaikan PublicAcls ke TRUE, blokir PublicPolicy ke TRUE, blokir PublicAcls ke TRUE, dan batasi PublicBuckets ke TRUE. | |
| 7466 | Keamanan Cloud Publik, Perlindungan Data di Cloud Publik, Aksesibilitas data (23.4.10. C.01.) | Pastikan dokumen AWS Systems Manager (SSM) tidak bersifat publik, karena ini memungkinkan akses yang tidak diinginkan ke dokumen SSM Anda. Dokumen SSM publik dapat mengekspos informasi tentang akun, sumber daya, dan proses internal Anda. | |
| 7466 | Keamanan Cloud Publik, Perlindungan Data di Cloud Publik, Aksesibilitas data (23.4.10. C.01.) | Grup keamanan Amazon Elastic Compute Cloud (Amazon EC2) dapat membantu dalam pengelolaan akses jaringan dengan menyediakan pemfilteran stateful dari lalu lintas jaringan masuk dan keluar ke sumber daya AWS. Membatasi semua lalu lintas pada grup keamanan default membantu membatasi akses jarak jauh ke sumber daya AWS Anda. | |
| 7466 | Keamanan Cloud Publik, Perlindungan Data di Cloud Publik, Aksesibilitas data (23.4.10. C.01.) | Log aliran virtual private cloud (VPC) menyediakan catatan terperinci untuk informasi tentang lalu lintas IP yang menuju dan dari antarmuka jaringan di VPC Amazon Anda. Secara default, catatan log aliran mencakup nilai untuk berbagai komponen aliran IP, termasuk sumber, tujuan, dan protokol. | |
| 7496 | Keamanan Cloud Publik, Pencatatan, dan Peringatan di Cloud Publik, persyaratan Pencatatan (23.5.11. C.01.) | Manfaatkan validasi file CloudTrail log AWS untuk memeriksa integritas CloudTrail log. Validasi file log membantu menentukan apakah file log diubah atau dihapus atau tidak diubah setelah CloudTrail dikirimkan. Fitur ini dibangun menggunakan algoritma standar industri: SHA-256 untuk hashing dan SHA-256 dengan RSA untuk penandatanganan digital. Ini membuatnya secara komputasi tidak layak untuk memodifikasi, menghapus atau memalsukan CloudTrail file log tanpa deteksi. | |
| 7496 | Keamanan Cloud Publik, Pencatatan, dan Peringatan di Cloud Publik, persyaratan Pencatatan (23.5.11. C.01.) | Kontrol ini memeriksa apakah pencatatan akses server diaktifkan pada CloudFront distribusi. Kontrol gagal jika pencatatan akses tidak diaktifkan untuk distribusi. CloudFront log akses memberikan informasi rinci tentang setiap permintaan pengguna yang CloudFront menerima. Setiap log berisi informasi seperti tanggal dan waktu permintaan diterima, alamat IP penampil yang membuat permintaan, sumber permintaan, dan nomor port permintaan dari penampil. Log ini berguna untuk aplikasi seperti audit keamanan dan akses dan investigasi forensik. Aturan ini harus diterapkan di wilayah us-east-1. | |
| 7496 | Keamanan Cloud Publik, Pencatatan, dan Peringatan di Cloud Publik, persyaratan Pencatatan (23.5.11. C.01.) | AWS CloudTrail dapat membantu dalam non-penolakan dengan merekam tindakan AWS Management Console dan panggilan API. Anda dapat mengidentifikasi pengguna dan akun AWS yang disebut layanan AWS, alamat IP sumber tempat panggilan dihasilkan, dan pengaturan waktu panggilan. Detail data yang diambil terlihat dalam AWS CloudTrail Record Contents. | |
| 7496 | Keamanan Cloud Publik, Pencatatan, dan Peringatan di Cloud Publik, persyaratan Pencatatan (23.5.11. C.01.) | Untuk membantu melindungi data sensitif saat istirahat, pastikan enkripsi diaktifkan untuk Grup CloudWatch Log Amazon Anda. | |
| 7496 | Keamanan Cloud Publik, Pencatatan, dan Peringatan di Cloud Publik, persyaratan Pencatatan (23.5.11. C.01.) | Aktivitas Elastic Load Balancing adalah titik pusat komunikasi dalam suatu lingkungan. Pastikan pencatatan ELB diaktifkan. Data yang dikumpulkan memberikan informasi rinci tentang permintaan yang dikirim ke ELB. Setiap log berisi informasi, seperti waktu permintaan diterima, alamat IP klien, latensi, jalur permintaan, dan respons server. | |
| 7496 | Keamanan Cloud Publik, Pencatatan, dan Peringatan di Cloud Publik, persyaratan Pencatatan (23.5.11. C.01.) | Untuk membantu pencatatan dan pemantauan di lingkungan Anda, pastikan pencatatan Amazon Relational Database Service (Amazon RDS) diaktifkan. Dengan pencatatan Amazon RDS, Anda dapat menangkap peristiwa seperti koneksi, pemutusan sambungan, kueri, atau tabel yang ditanyakan. | |
| 7545 | Kontrol Akses dan Kata Sandi, Identifikasi, Otentikasi dan Otentikasi, Kata Sandi dan kebijakan (16.1.31. C.02.) | Perubahan kata sandi tahunan diperlukan pada sistem yang belum menerapkan otentikasi multi-faktor (MFA) atau otentikasi tanpa kata sandi. Karena paket kesesuaian ini berisi Aturan Konfigurasi yang diaktifkan iam-user-mfa, kontrol ini memastikan perubahan kata sandi setiap tiga tahun. | |
| 7546 | Kontrol Akses dan Kata Sandi, Identifikasi, Otentikasi dan Otentikasi, Kata Sandi dan kebijakan (16.1.31. C.03.) | Pastikan panjang kata sandi minimum 16 karakter (misalnya empat kata). Kata sandi harus panjang, kuat, dan unik. Tidak ada persyaratan kompleksitas eksplisit yang diberlakukan (misalnya angka atau karakter khusus), namun kata sandi harus unik, atau acak dan dapat mencakup karakter dan angka khusus untuk mencapai hal ini. |
Templat
################################################################################## # # Conformance Pack: # Operational Best Practices for NZISM NZ Transition # # This conformance pack helps verify compliance with NZISM requirements. # ################################################################################## Resources: AcmCertificateExpirationCheck: Controls: [ '1667' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: acm-certificate-expiration-check InputParameters: daysToExpiration: '30' Scope: ComplianceResourceTypes: - AWS::ACM::Certificate Source: Owner: AWS SourceIdentifier: ACM_CERTIFICATE_EXPIRATION_CHECK Description: "SHOULD 14.5.8.C.01[CID:1667]| Software security/Web Application Development/Web applications" AlbHttpToHttpsRedirectionCheck: Controls: [ '1847', '2090' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: alb-http-to-https-redirection-check Source: Owner: AWS SourceIdentifier: ALB_HTTP_TO_HTTPS_REDIRECTION_CHECK Description: "MUST 16.1.37.C.01[CID:1847], MUST 17.1.55.C.02[CID:2090]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in t..." CloudTrailCloudWatchLogsEnabled: Controls: [ '1998', '6860' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloud-trail-cloud-watch-logs-enabled Source: Owner: AWS SourceIdentifier: CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED Description: "SHOULD 16.6.6.C.02[CID:1998], MUST 16.4.35.C.02[CID:6860]| Access Control and Passwords: (Event Logging and Auditing/Maintaining system management logs and Privileged..." CloudTrailEncryptionEnabled: Controls: [ '2082' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloud-trail-encryption-enabled Source: Owner: AWS SourceIdentifier: CLOUD_TRAIL_ENCRYPTION_ENABLED Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements" CloudTrailLogFileValidationEnabled: Controls: [ '2022', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloud-trail-log-file-validation-enabled Source: Owner: AWS SourceIdentifier: CLOUD_TRAIL_LOG_FILE_VALIDATION_ENABLED Description: "MUST 16.6.12.C.01[CID:2022], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Event log protection and Public Cloud Security/Loggi..." CloudfrontAccesslogsEnabled: Condition: IsEdge Controls: [ '2013', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudfront-accesslogs-enabled Source: Owner: AWS SourceIdentifier: CLOUDFRONT_ACCESSLOGS_ENABLED Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..." CloudfrontAssociatedWithWaf: Condition: IsEdge Controls: [ '3562' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudfront-associated-with-waf Source: Owner: AWS SourceIdentifier: CLOUDFRONT_ASSOCIATED_WITH_WAF Description: "MUST 19.1.12.C.01[CID:3562]| Gateway security/Gateways/Configuration of gateways" CloudfrontDefaultRootObjectConfigured: Condition: IsEdge Controls: [ '1661' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudfront-default-root-object-configured Source: Owner: AWS SourceIdentifier: CLOUDFRONT_DEFAULT_ROOT_OBJECT_CONFIGURED Description: "SHOULD 14.5.6.C.01[CID:1661]| Software security/Web Application Development/Agency website content" CloudfrontViewerPolicyHttps: Condition: IsEdge Controls: [ '1847' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudfront-viewer-policy-https Source: Owner: AWS SourceIdentifier: CLOUDFRONT_VIEWER_POLICY_HTTPS Description: "MUST 16.1.37.C.01[CID:1847]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in transit" CloudtrailEnabled: Controls: [ '1998', '2013', '6860', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudtrail-enabled Source: Owner: AWS SourceIdentifier: CLOUD_TRAIL_ENABLED Description: "SHOULD 16.6.6.C.02[CID:1998], SHOULD 16.6.10.C.02[CID:2013], MUST 16.4.35.C.02[CID:6860], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords: (Event Logging and..." CloudtrailS3DataeventsEnabled: Controls: [ '4838' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudtrail-s3-dataevents-enabled Source: Owner: AWS SourceIdentifier: CLOUDTRAIL_S3_DATAEVENTS_ENABLED Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access" CloudtrailSecurityTrailEnabled: Controls: [ '6861' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudtrail-security-trail-enabled Source: Owner: AWS SourceIdentifier: CLOUDTRAIL_SECURITY_TRAIL_ENABLED Description: "MUST 16.4.35.C.03[CID:6861]| Access Control and Passwords/Privileged Access Management/Monitoring and Review" CloudwatchLogGroupEncrypted: Controls: [ '2022', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudwatch-log-group-encrypted Source: Owner: AWS SourceIdentifier: CLOUDWATCH_LOG_GROUP_ENCRYPTED Description: "MUST 16.6.12.C.01[CID:2022], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Event log protection and Public Cloud Security/Loggi..." CmkBackingKeyRotationEnabled: Controls: [ '3021' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cmk-backing-key-rotation-enabled Source: Owner: AWS SourceIdentifier: CMK_BACKING_KEY_ROTATION_ENABLED Description: "SHOULD 17.9.25.C.01[CID:3021]| Cryptography/Key Management/Contents of KMPs" CwLoggroupRetentionPeriodCheck: Controls: [ '1998', '2028' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cw-loggroup-retention-period-check InputParameters: MinRetentionTime: '545' Source: Owner: AWS SourceIdentifier: CW_LOGGROUP_RETENTION_PERIOD_CHECK Description: "SHOULD 16.6.6.C.02[CID:1998], MUST 16.6.13.C.01[CID:2028]| Access Control and Passwords/Event Logging and Auditing: (Maintaining system management logs and Event log ..." DbInstanceBackupEnabled: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: db-instance-backup-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: DB_INSTANCE_BACKUP_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" DmsReplicationNotPublic: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: dms-replication-not-public Source: Owner: AWS SourceIdentifier: DMS_REPLICATION_NOT_PUBLIC Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." DynamodbAutoscalingEnabled: Controls: [ '4829' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: dynamodb-autoscaling-enabled Scope: ComplianceResourceTypes: - AWS::DynamoDB::Table Source: Owner: AWS SourceIdentifier: DYNAMODB_AUTOSCALING_ENABLED Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability" DynamodbPitrEnabled: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: dynamodb-pitr-enabled Scope: ComplianceResourceTypes: - AWS::DynamoDB::Table Source: Owner: AWS SourceIdentifier: DYNAMODB_PITR_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" DynamodbTableEncryptedKms: Controls: [ '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: dynamodb-table-encrypted-kms Scope: ComplianceResourceTypes: - AWS::DynamoDB::Table Source: Owner: AWS SourceIdentifier: DYNAMODB_TABLE_ENCRYPTED_KMS Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access" EbsSnapshotPublicRestorableCheck: Controls: [ '4838' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ebs-snapshot-public-restorable-check Source: Owner: AWS SourceIdentifier: EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access" Ec2EbsEncryptionByDefault: Controls: [ '2082' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ec2-ebs-encryption-by-default Source: Owner: AWS SourceIdentifier: EC2_EBS_ENCRYPTION_BY_DEFAULT Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements" Ec2Imdsv2Check: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ec2-imdsv2-check Scope: ComplianceResourceTypes: - AWS::EC2::Instance Source: Owner: AWS SourceIdentifier: EC2_IMDSV2_CHECK Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." Ec2InstanceNoPublicIp: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ec2-instance-no-public-ip Scope: ComplianceResourceTypes: - AWS::EC2::Instance Source: Owner: AWS SourceIdentifier: EC2_INSTANCE_NO_PUBLIC_IP Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." Ec2InstancesInVpc: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ec2-instances-in-vpc Scope: ComplianceResourceTypes: - AWS::EC2::Instance Source: Owner: AWS SourceIdentifier: INSTANCES_IN_VPC Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." EfsEncryptedCheck: Controls: [ '2082', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: efs-encrypted-check Source: Owner: AWS SourceIdentifier: EFS_ENCRYPTED_CHECK Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements and Enterpri..." ElasticacheRedisClusterAutomaticBackupCheck: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elasticache-redis-cluster-automatic-backup-check Source: Owner: AWS SourceIdentifier: ELASTICACHE_REDIS_CLUSTER_AUTOMATIC_BACKUP_CHECK Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" ElasticsearchEncryptedAtRest: Controls: [ '2082', '4441', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elasticsearch-encrypted-at-rest Source: Owner: AWS SourceIdentifier: ELASTICSEARCH_ENCRYPTED_AT_REST Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..." ElasticsearchInVpcOnly: Controls: [ '3562', '3623', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elasticsearch-in-vpc-only Source: Owner: AWS SourceIdentifier: ELASTICSEARCH_IN_VPC_ONLY Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..." ElasticsearchNodeToNodeEncryptionCheck: Controls: [ '1847', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elasticsearch-node-to-node-encryption-check Scope: ComplianceResourceTypes: - AWS::Elasticsearch::Domain Source: Owner: AWS SourceIdentifier: ELASTICSEARCH_NODE_TO_NODE_ENCRYPTION_CHECK Description: "MUST 16.1.37.C.01[CID:1847], SHOULD 22.1.24.C.04[CID:4839]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in..." ElbCrossZoneLoadBalancingEnabled: Controls: [ '4829' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elb-cross-zone-load-balancing-enabled Scope: ComplianceResourceTypes: - AWS::ElasticLoadBalancing::LoadBalancer Source: Owner: AWS SourceIdentifier: ELB_CROSS_ZONE_LOAD_BALANCING_ENABLED Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability" ElbCustomSecurityPolicySslCheck: Controls: [ '2598', '2600' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elb-custom-security-policy-ssl-check InputParameters: sslProtocolsAndCiphers: 'Protocol-TLSv1.2,ECDHE-ECDSA-AES256-GCM-SHA384' Scope: ComplianceResourceTypes: - AWS::ElasticLoadBalancing::LoadBalancer Source: Owner: AWS SourceIdentifier: ELB_CUSTOM_SECURITY_POLICY_SSL_CHECK Description: "SHOULD 17.4.16.C.01[CID:2598], SHOULD NOT 17.4.16.C.02[CID:2600]| Cryptography/Transport Layer Security/Using TLS" ElbLoggingEnabled: Controls: [ '2013', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elb-logging-enabled Scope: ComplianceResourceTypes: - AWS::ElasticLoadBalancing::LoadBalancer - AWS::ElasticLoadBalancingV2::LoadBalancer Source: Owner: AWS SourceIdentifier: ELB_LOGGING_ENABLED Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..." ElbTlsHttpsListenersOnly: Controls: [ '1667', '1847', '2090', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elb-tls-https-listeners-only Scope: ComplianceResourceTypes: - AWS::ElasticLoadBalancing::LoadBalancer Source: Owner: AWS SourceIdentifier: ELB_TLS_HTTPS_LISTENERS_ONLY Description: "SHOULD 14.5.8.C.01[CID:1667], MUST 16.1.37.C.01[CID:1847], MUST 17.1.55.C.02[CID:2090], SHOULD 22.1.24.C.04[CID:4839]| Software security/Web Application Development/We..." EncryptedVolumes: Controls: [ '2082', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: encrypted-volumes Scope: ComplianceResourceTypes: - AWS::EC2::Volume Source: Owner: AWS SourceIdentifier: ENCRYPTED_VOLUMES Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements and Enterpri..." IamPasswordPolicy: Controls: [ '7545', '7546' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: iam-password-policy InputParameters: MaxPasswordAge: '1095' MinimumPasswordLength: '16' PasswordReusePrevention: '24' RequireUppercaseCharacters: 'false' RequireLowercaseCharacters: 'false' RequireSymbols: 'false' RequireNumbers: 'false' Source: Owner: AWS SourceIdentifier: IAM_PASSWORD_POLICY Description: "MUST 16.1.31.C.02[CID:7545], MUST 16.1.31.C.03[CID:7546]| Access Control and Passwords/Identification, Authentication and Authentication/Passwords and policy" RdsAutomaticMinorVersionUpgradeEnabled: Controls: [ '3452' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-automatic-minor-version-upgrade-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_AUTOMATIC_MINOR_VERSION_UPGRADE_ENABLED Description: "SHOULD 12.4.4.C.05[CID:3452]| Product Security/Product Patching and Updating/Patching vulnerabilities in products" RdsClusterDeletionProtectionEnabled: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-cluster-deletion-protection-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBCluster Source: Owner: AWS SourceIdentifier: RDS_CLUSTER_DELETION_PROTECTION_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" RdsInstanceDeletionProtectionEnabled: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-instance-deletion-protection-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_INSTANCE_DELETION_PROTECTION_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" RdsInstancePublicAccessCheck: Controls: [ '3562', '3623', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-instance-public-access-check Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_INSTANCE_PUBLIC_ACCESS_CHECK Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..." RdsLoggingEnabled: Controls: [ '2013', '4441', '4445', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-logging-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_LOGGING_ENABLED Description: "SHOULD 16.6.10.C.02[CID:2013], SHOULD 20.4.4.C.02[CID:4441], SHOULD 20.4.5.C.02[CID:4445], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and ..." RdsSnapshotEncrypted: Controls: [ '2082', '4441', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-snapshot-encrypted Scope: ComplianceResourceTypes: - AWS::RDS::DBSnapshot - AWS::RDS::DBClusterSnapshot Source: Owner: AWS SourceIdentifier: RDS_SNAPSHOT_ENCRYPTED Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..." RdsSnapshotsPublicProhibited: Controls: [ '4441' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-snapshots-public-prohibited Scope: ComplianceResourceTypes: - AWS::RDS::DBSnapshot - AWS::RDS::DBClusterSnapshot Source: Owner: AWS SourceIdentifier: RDS_SNAPSHOTS_PUBLIC_PROHIBITED Description: "SHOULD 20.4.4.C.02[CID:4441]| Data management/Databases/Database files" RdsStorageEncrypted: Controls: [ '2082', '4441', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-storage-encrypted Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_STORAGE_ENCRYPTED Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..." RedshiftBackupEnabled: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: redshift-backup-enabled Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_BACKUP_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" RedshiftClusterConfigurationCheck: Controls: [ '4441', '4445', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: redshift-cluster-configuration-check InputParameters: clusterDbEncrypted: 'true' loggingEnabled: 'true' Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_CLUSTER_CONFIGURATION_CHECK Description: "SHOULD 20.4.4.C.02[CID:4441], SHOULD 20.4.5.C.02[CID:4445], SHOULD 22.1.24.C.04[CID:4839]| Data management/Databases: (Database files and Accountability) and Enterpr..." RedshiftClusterMaintenancesettingsCheck: Controls: [ '3449', '3453' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: redshift-cluster-maintenancesettings-check InputParameters: allowVersionUpgrade: 'true' Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_CLUSTER_MAINTENANCESETTINGS_CHECK Description: "MUST 12.4.4.C.02[CID:3449], SHOULD 12.4.4.C.06[CID:3453]| Product Security/Product Patching and Updating/Patching vulnerabilities in products" RedshiftClusterPublicAccessCheck: Controls: [ '3562', '3623', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: redshift-cluster-public-access-check Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..." RedshiftRequireTlsSsl: Controls: [ '2090', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: redshift-require-tls-ssl Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_REQUIRE_TLS_SSL Description: "MUST 17.1.55.C.02[CID:2090], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Information and Systems Protection and Enterprise systems security..." RestrictedSsh: Controls: [ '2726' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: restricted-ssh Scope: ComplianceResourceTypes: - AWS::EC2::SecurityGroup Source: Owner: AWS SourceIdentifier: INCOMING_SSH_DISABLED Description: "SHOULD 17.5.8.C.02[CID:2726]| Cryptography/Secure Shell/Automated remote access" S3AccountLevelPublicAccessBlocksPeriodic: Controls: [ '3562', '4838', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-account-level-public-access-blocks-periodic Source: Owner: AWS SourceIdentifier: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS_PERIODIC Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 22.1.24.C.03[CID:4838], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Enterprise systems se..." S3BucketPublicReadProhibited: Controls: [ '4838' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-bucket-public-read-prohibited Scope: ComplianceResourceTypes: - AWS::S3::Bucket Source: Owner: AWS SourceIdentifier: S3_BUCKET_PUBLIC_READ_PROHIBITED Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access" S3BucketPublicWriteProhibited: Controls: [ '4838' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-bucket-public-write-prohibited Scope: ComplianceResourceTypes: - AWS::S3::Bucket Source: Owner: AWS SourceIdentifier: S3_BUCKET_PUBLIC_WRITE_PROHIBITED Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access" S3BucketServerSideEncryptionEnabled: Controls: [ '2082' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-bucket-server-side-encryption-enabled Scope: ComplianceResourceTypes: - AWS::S3::Bucket Source: Owner: AWS SourceIdentifier: S3_BUCKET_SERVER_SIDE_ENCRYPTION_ENABLED Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements" S3BucketSslRequestsOnly: Controls: [ '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-bucket-ssl-requests-only Scope: ComplianceResourceTypes: - AWS::S3::Bucket Source: Owner: AWS SourceIdentifier: S3_BUCKET_SSL_REQUESTS_ONLY Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access" SecretsmanagerUsingCmk: Controls: [ '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: secretsmanager-using-cmk Scope: ComplianceResourceTypes: - AWS::SecretsManager::Secret Source: Owner: AWS SourceIdentifier: SECRETSMANAGER_USING_CMK Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access" SecurityhubEnabled: Controls: [ '3875' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: securityhub-enabled Source: Owner: AWS SourceIdentifier: SECURITYHUB_ENABLED Description: "SHOULD 18.4.12.C.01[CID:3875]| Network security/Intrusion Detection and Prevention/Event management and correlation" SsmDocumentNotPublic: Controls: [ '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ssm-document-not-public Source: Owner: AWS SourceIdentifier: SSM_DOCUMENT_NOT_PUBLIC Description: "MUST 23.4.10.C.01[CID:7466]| Public Cloud Security/Data Protection in Public Cloud/Data accessibility" VpcDefaultSecurityGroupClosed: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: vpc-default-security-group-closed Scope: ComplianceResourceTypes: - AWS::EC2::SecurityGroup Source: Owner: AWS SourceIdentifier: VPC_DEFAULT_SECURITY_GROUP_CLOSED Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." VpcFlowLogsEnabled: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: vpc-flow-logs-enabled Source: Owner: AWS SourceIdentifier: VPC_FLOW_LOGS_ENABLED Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." VpcSgOpenOnlyToAuthorizedPorts: Controls: [ '3205' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: vpc-sg-open-only-to-authorized-ports InputParameters: authorizedTcpPorts: '443' Scope: ComplianceResourceTypes: - AWS::EC2::SecurityGroup Source: Owner: AWS SourceIdentifier: VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS Description: "SHOULD 18.1.13.C.02[CID:3205]| Network security/Network Management/Limiting network access"
