Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Migliori pratiche operative per NZISM 3.9 (estensione)
I Conformance Pack forniscono un framework di conformità generico progettato per consentirti di creare controlli di governance di sicurezza, operativi o di ottimizzazione dei costi utilizzando regole gestite o personalizzate e azioni correttive. AWS Config AWS Config I pacchetti di conformità, in quanto modelli di esempio, non sono pensati per garantire la piena conformità a uno specifico standard di governance o conformità. È tua responsabilità valutare autonomamente se l'utilizzo dei Servizi soddisfa i requisiti legali e normativi applicabili.
Di seguito viene fornito un esempio di mappatura tra il [Manuale sulla sicurezza delle informazioni (NZISM) 2025-11 versione 3.9 del Government Communications Security Bureau (GCSB) della Nuova Zelanda e le regole](https://www.nzism.gcsb.govt.nz/ism-document) di Managed Config. AWS Ogni regola Config si applica a un tipo di AWS risorsa specifico e si riferisce a uno o più controlli NZISM. Un controllo NZISM può essere correlato a più regole Config. Consulta la tabella seguente per maggiori dettagli e indicazioni relativi a queste mappature. Nelle mappature sono inclusi solo i controlli che rappresentano la pratica consigliata o di base per le informazioni classificate come RESTRICTED e di seguito.
Questo modello di pacchetto di conformità di esempio contiene mappature ai controlli all'interno del framework NZISM, parte integrante del framework Protective Security Requirements (PSR) che definisce le aspettative del governo neozelandese relativamente alla gestione del personale, delle informazioni e della sicurezza fisica.
La parte Foundation di questo pacchetto di conformità può essere distribuita a Sydney e nelle regioni del mondo. La parte NZ Transition contiene il sottoinsieme di regole Foundation Config attualmente disponibili nella regione Nuova Zelanda. La parte relativa alla Fondazione non verrà attualmente distribuita nella regione della Nuova Zelanda. La parte Extension di questo pacchetto di conformità può essere implementata nelle regioni di Sydney e Nuova Zelanda per aumentare le regole di Config fornite nelle parti Foundation e NZ Transition.
Il NZISM è concesso in licenza con la licenza Creative Commons Attribution 4.0 Nuova Zelanda, disponibile all'indirizzo. [https://creativecommons.org/licenses/by/4.0/](https://creativecommons.org/licenses/by/4.0/) Per informazioni sul copyright, consulta [NZISM New Zealand Information Security Manual \| Legal, Privacy, and Copyright](https://www.nzism.gcsb.govt.nz/legal-privacy-and-copyright/).
****
| ID controllo | Descrizione del controllo | Regola AWS Config | Linee guida |
| --- | --- | --- | --- |
| 2082 | Crittografia, fondamenti crittografici, riduzione dei requisiti di archiviazione e trasferimento fisico (17.1.53. C.04.) | [api-gw-cache-enabled-e crittografato](api-gw-cache-enabled-and-encrypted.md) | Per proteggere i dati a riposo, assicurati che la crittografia sia abilitata per la cache della fase Gateway API. Per proteggere i dati sensibili che possono essere acquisiti per il metodo API, è necessario attivare la crittografia a riposo. È disponibile un'esenzione per gli ambienti di preproduzione. |
| 2082 | Crittografia, fondamenti crittografici, riduzione dei requisiti di archiviazione e trasferimento fisico (17.1.53. C.04.) | [s3-default-encryption-kms](s3-default-encryption-kms.md) | Per proteggere i dati archiviati, assicurati che la crittografia sia abilitata per i tuoi bucket S3. Data la possibile presenza di dati sensibili a riposo in un bucket Amazon S3, abilita la crittografia a riposo per proteggere tali dati. Per ulteriori informazioni sul processo di crittografia e sull'amministrazione, utilizza le CMK gestite dai clienti di AWS Key Management Service (AWS KMS). È disponibile un'esenzione per i bucket contenenti dati non sensibili, a condizione che SSE sia abilitato. |
| 3562 | Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.) | [alb-waf-enabled](alb-waf-enabled.md) | Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono influire sulla disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente. È disponibile un'esenzione se il load balancer è l'origine di una distribuzione con WAF abilitato. CloudFront |
| 3562 | Sicurezza dei gateway, gateway, configurazione dei gateway (19.1.12. C.01.) | [api-gw-associated-with-waf](api-gw-associated-with-waf.md) | Questo controllo verifica se una fase API Gateway utilizza una lista di controllo degli accessi Web (ACL) AWS WAF. Questo controllo fallisce se un ACL web regionale AWS WAF non è collegato a una fase REST API Gateway. AWS WAF è un firewall per applicazioni Web che consente di proteggere le applicazioni Web e le API dagli attacchi. Consente di configurare un ACL, ovvero un insieme di regole che consentono, bloccano o contano le richieste Web in base a regole e condizioni di sicurezza Web personalizzabili da te definite. Assicurati che la tua fase API Gateway sia associata a un ACL web AWS WAF per proteggerla da attacchi dannosi. Un'esenzione è disponibile se l'API Gateway è l'origine di una CloudFront distribuzione con WAF abilitato. |
| 4333 | Gestione dei dati, filtro dei contenuti, convalida dei contenuti (20.3.7. C.02.) | [alb-waf-enabled](alb-waf-enabled.md) | Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono influire sulla disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente. |
| 4333 | Gestione dei dati, filtro dei contenuti, convalida dei contenuti (20.3.7. C.02.) | [api-gw-associated-with-waf](api-gw-associated-with-waf.md) | Questo controllo verifica se una fase API Gateway utilizza una lista di controllo degli accessi Web (ACL) AWS WAF. Questo controllo fallisce se un ACL web regionale AWS WAF non è collegato a una fase REST API Gateway. AWS WAF è un firewall per applicazioni Web che consente di proteggere le applicazioni Web e le API dagli attacchi. Consente di configurare un ACL, ovvero un insieme di regole che consentono, bloccano o contano le richieste Web in base a regole e condizioni di sicurezza Web personalizzabili da te definite. Assicurati che la tua fase API Gateway sia associata a un ACL web AWS WAF per proteggerla da attacchi dannosi. Un'esenzione è disponibile se l'API Gateway è l'origine di una CloudFront distribuzione con WAF abilitato. |
| 4829 | Sicurezza dei sistemi aziendali, cloud computing, disponibilità del sistema (22.1.23. C.01.) | [rds-cluster-multi-az-enabled](rds-cluster-multi-az-enabled.md) | Amazon Aurora archivia copie dei dati in un cluster DB in più zone di disponibilità in un'unica regione AWS. L’archiviazione avviene indipendentemente dal fatto che le istanze nel cluster database siano estese su più zone di disponibilità. Quando i dati vengono scritti nell'istanza database primaria, Aurora replica in modo sincrono i dati nelle zone di disponibilità in sei nodi di storage associati al volume cluster. In questo modo si garantisce la ridondanza dei dati, si eliminano i I/O blocchi e si riducono al minimo i picchi di latenza durante i backup di sistema. Eseguendo un'istanza database con disponibilità elevata, è possibile migliorare la disponibilità durante la manutenzione pianificata del sistema e consentire di proteggere i database da errori e interruzioni relative alle zone di disponibilità. Questa regola verifica se Multi-AZ la replica è abilitata sui cluster Amazon Aurora gestiti da Amazon Relational Database Service (RDS). È disponibile un'esenzione per gli ambienti di preproduzione. |
| 4829 | Sicurezza dei sistemi aziendali, cloud computing, disponibilità del sistema (22.1.23. C.01.) | [rds-multi-az-support](rds-multi-az-support.md) | Multi-AZ il supporto in Amazon Relational Database Service (RDS) fornisce disponibilità e durabilità avanzate per le istanze di database. Quando si effettua il provisioning di un'istanza di Multi-AZ database, Amazon RDS crea automaticamente un'istanza di database principale e replica in modo sincrono i dati su un'istanza di standby in una zona di disponibilità diversa. Ogni zona di disponibilità funziona su una propria infrastruttura indipendente e fisicamente distinta ed è progettata per essere altamente affidabile. In caso di guasto dell'infrastruttura, Amazon RDS esegue un failover automatico in standby in modo da poter riprendere le operazioni del database non appena il failover è completato. È disponibile un'esenzione per gli ambienti di preproduzione. |
| 4839 | Sicurezza dei sistemi aziendali, cloud computing, accesso non autorizzato (22.1.24. C.04.) | [sns-encrypted-kms](sns-encrypted-kms.md) | Per proteggere i dati archiviati, assicurati che gli argomenti di Amazon Simple Notification Service (Amazon SNS) richiedano la crittografia utilizzando AWS Key Management Service (AWS KMS). Data la possibile presenza di dati sensibili a riposo nei messaggi pubblicati, abilita la crittografia a riposo per proteggere tali dati. È disponibile un'esenzione quando i messaggi pubblicati sull'argomento non contengono dati sensibili. |
| 4849 | Sicurezza dei sistemi aziendali, Cloud Computing, Backup, Ripristino, Archiviazione e Conservazione dei Dati (22.1.26. C.01.) | [dynamodb-in-backup-plan](dynamodb-in-backup-plan.md) | Per facilitare i processi di backup dei dati, assicurati che le tabelle Amazon DynamoDB facciano parte di un piano di backup AWS. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. Un'esenzione è disponibile quando è stata configurata una soluzione di recupero compensativa. |
| 4849 | Sicurezza dei sistemi aziendali, Cloud Computing, Backup, Ripristino, Archiviazione e Conservazione dei Dati (22.1.26. C.01.) | [ebs-in-backup-plan](ebs-in-backup-plan.md) | Per facilitare i processi di backup dei dati, assicurati che i volumi Amazon Elastic Block Store (Amazon EBS) facciano parte di un piano di AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. Un'esenzione è disponibile quando è stata configurata una soluzione di recupero compensativa. |
| 4849 | Sicurezza dei sistemi aziendali, Cloud Computing, Backup, Ripristino, Archiviazione e Conservazione dei Dati (22.1.26. C.01.) | [efs-in-backup-plan](efs-in-backup-plan.md) | Per facilitare i processi di backup dei dati, assicurati che i tuoi file system Amazon Elastic File System (Amazon EFS) facciano parte di un piano AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. Un'esenzione è disponibile quando è stata configurata una soluzione di recupero compensativa. |
| 4849 | Sicurezza dei sistemi aziendali, Cloud Computing, Backup, Ripristino, Archiviazione e Conservazione dei Dati (22.1.26. C.01.) | [rds-in-backup-plan](rds-in-backup-plan.md) | Per facilitare i processi di backup dei dati, assicurati che le istanze di Amazon Relational Database Service (RDS) facciano parte di un piano di AWS Backup. AWS Backup è un servizio di backup completamente gestito con una soluzione di backup basata su policy. Questa soluzione semplifica la gestione dei backup e consente di soddisfare i requisiti di conformità aziendali e normativi in materia di backup. Un'esenzione è disponibile quando è stata configurata una soluzione di recupero compensativa. |
| 4849 | Sicurezza dei sistemi aziendali, Cloud Computing, Backup, Ripristino, Archiviazione e Conservazione dei Dati (22.1.26. C.01.) | [s3-bucket-versioning-enabled](s3-bucket-versioning-enabled.md) | Il controllo delle versioni del bucket Amazon Simple Storage Service (Amazon S3) consente di conservare più varianti di un oggetto nello stesso bucket Amazon S3. Utilizza il controllo delle versioni per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel bucket Amazon S3. Il controllo delle versioni agevola il ripristino a seguito di errori dell'applicazione e azioni non intenzionali da parte degli utenti. Un'esenzione è disponibile quando verrà creata una sola variante di un oggetto o quando è stata configurata una soluzione di ripristino compensativa. |
| 7466 | Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.) | [alb-waf-enabled](alb-waf-enabled.md) | Assicurati che AWS WAF sia abilitato su Elastic Load Balancers (ELB) per proteggere le applicazioni Web. Un WAF aiuta a proteggere le applicazioni Web o le API contro gli exploit Web più comuni. Questi exploit Web possono influire sulla disponibilità, compromettere la sicurezza o consumare risorse eccessive all'interno dell'ambiente. |
| 7466 | Sicurezza nel cloud pubblico, protezione dei dati nel cloud pubblico, accessibilità dei dati (23.4.10. C.01.) | [api-gw-associated-with-waf](api-gw-associated-with-waf.md) | Questo controllo verifica se una fase API Gateway utilizza una lista di controllo degli accessi Web (ACL) AWS WAF. Questo controllo fallisce se un ACL web regionale AWS WAF non è collegato a una fase REST API Gateway. AWS WAF è un firewall per applicazioni Web che consente di proteggere le applicazioni Web e le API dagli attacchi. Consente di configurare un ACL, ovvero un insieme di regole che consentono, bloccano o contano le richieste Web in base a regole e condizioni di sicurezza Web personalizzabili da te definite. Assicurati che la tua fase API Gateway sia associata a un ACL web AWS WAF per proteggerla da attacchi dannosi. Un'esenzione è disponibile se l'API Gateway è l'origine di una CloudFront distribuzione con WAF abilitato. |
## Modello
```
##################################################################################
#
# Conformance Pack:
# Operational Best Practices for NZISM Extension
#
# This conformance pack helps verify compliance with NZISM requirements.
#
##################################################################################
Resources:
AlbWafEnabled:
Condition: checkAlbWafEnabled
Controls: [ '3562', '4333', '7466' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: alb-waf-enabled
Scope:
ComplianceResourceTypes:
- AWS::ElasticLoadBalancingV2::LoadBalancer
Source:
Owner: AWS
SourceIdentifier: ALB_WAF_ENABLED
Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 20.3.7.C.02[CID:4333], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Data management/Conten..."
ApiGwAssociatedWithWaf:
Condition: checkApiGwAssociatedWithWaf
Controls: [ '3562', '4333', '7466' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: api-gw-associated-with-waf
Source:
Owner: AWS
SourceIdentifier: API_GW_ASSOCIATED_WITH_WAF
Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 20.3.7.C.02[CID:4333], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Data management/Conten..."
ApiGwCacheEnabledAndEncrypted:
Condition: checkApiGwCacheEnabledAndEncrypted
Controls: [ '2082' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: api-gw-cache-enabled-and-encrypted
Scope:
ComplianceResourceTypes:
- AWS::ApiGateway::Stage
Source:
Owner: AWS
SourceIdentifier: API_GW_CACHE_ENABLED_AND_ENCRYPTED
Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements"
DynamodbInBackupPlan:
Condition: checkDynamodbInBackupPlan
Controls: [ '4849' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: dynamodb-in-backup-plan
Source:
Owner: AWS
SourceIdentifier: DYNAMODB_IN_BACKUP_PLAN
Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
EbsInBackupPlan:
Condition: checkEbsInBackupPlan
Controls: [ '4849' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: ebs-in-backup-plan
Source:
Owner: AWS
SourceIdentifier: EBS_IN_BACKUP_PLAN
Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
EfsInBackupPlan:
Condition: checkEfsInBackupPlan
Controls: [ '4849' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: efs-in-backup-plan
Source:
Owner: AWS
SourceIdentifier: EFS_IN_BACKUP_PLAN
Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
RdsClusterMultiAzEnabled:
Condition: checkRdsClusterMultiAzEnabled
Controls: [ '4829' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: rds-cluster-multi-az-enabled
Scope:
ComplianceResourceTypes:
- AWS::RDS::DBCluster
Source:
Owner: AWS
SourceIdentifier: RDS_CLUSTER_MULTI_AZ_ENABLED
Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability"
RdsInBackupPlan:
Condition: checkRdsInBackupPlan
Controls: [ '4849' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: rds-in-backup-plan
Source:
Owner: AWS
SourceIdentifier: RDS_IN_BACKUP_PLAN
Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
RdsMultiAzSupport:
Condition: checkRdsMultiAzSupport
Controls: [ '4829' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: rds-multi-az-support
Scope:
ComplianceResourceTypes:
- AWS::RDS::DBInstance
Source:
Owner: AWS
SourceIdentifier: RDS_MULTI_AZ_SUPPORT
Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability"
S3BucketVersioningEnabled:
Condition: checkS3BucketVersioningEnabled
Controls: [ '4849' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: s3-bucket-versioning-enabled
Scope:
ComplianceResourceTypes:
- AWS::S3::Bucket
Source:
Owner: AWS
SourceIdentifier: S3_BUCKET_VERSIONING_ENABLED
Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence"
S3DefaultEncryptionKms:
Condition: checkS3DefaultEncryptionKms
Controls: [ '2082' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: s3-default-encryption-kms
Scope:
ComplianceResourceTypes:
- AWS::S3::Bucket
Source:
Owner: AWS
SourceIdentifier: S3_DEFAULT_ENCRYPTION_KMS
Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements"
SnsEncryptedKms:
Condition: checkSnsEncryptedKms
Controls: [ '4839' ]
Type: AWS::Config::ConfigRule
Properties:
ConfigRuleName: sns-encrypted-kms
Scope:
ComplianceResourceTypes:
- AWS::SNS::Topic
Source:
Owner: AWS
SourceIdentifier: SNS_ENCRYPTED_KMS
Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access"
```