As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Melhores práticas operacionais para o NZISM 3.9 (extensão)
Os pacotes de conformidade fornecem uma estrutura de conformidade de uso geral projetada para permitir que você crie verificações de governança de segurança, operação ou otimização de custos usando regras e ações de remediação gerenciadas ou personalizadas. AWS Config AWS Config Os pacotes de conformidade, como os modelos de amostra, não foram projetados para garantir totalmente a conformidade com um padrão específico de governança ou conformidade. Você é responsável por avaliar se o seu uso dos serviços atende aos requisitos legais e regulamentares aplicáveis.
Veja a seguir um exemplo de mapeamento entre o Manual de Segurança da Informação (NZISM) 2025-11, versão 3.9, do Departamento de Segurança das Comunicações do Governo da Nova Zelândia (GCSB)
Este exemplo de modelo de pacote de conformidade contém mapeamentos para controles dentro da estrutura NZISM, que é parte integrante da estrutura de Requisitos de Segurança de Proteção (PSR) que define as expectativas do governo da Nova Zelândia em relação ao gerenciamento de pessoal, informações e segurança física.
A parte básica desse pacote de conformidade pode ser implantada em Sydney e nas regiões globais. A parte NZ Transition contém o subconjunto das regras do Foundation Config que estão atualmente disponíveis na região da Nova Zelândia. Atualmente, a parte da Fundação não será implantada na região da Nova Zelândia. A parte de extensão desse pacote de conformidade pode ser implantada nas regiões de Sydney e Nova Zelândia para ampliar as regras de Config fornecidas nas partes Foundation e NZ Transition.
O NZISM está licenciado sob a licença Creative Commons Attribution 4.0 Nova Zelândia, disponível em. https://creativecommons.org/licenses/by/4.0/
| ID de controle | Descrição do controle | Regra do AWS Config | Orientação |
|---|---|---|---|
| 2082 | Criptografia, fundamentos criptográficos, redução dos requisitos de armazenamento e transferência física (17.1.53. C.04.) | Para ajudar a proteger os dados em repouso, habilite a criptografia para o cache do estágio do API Gateway. Como dados sensíveis podem ser capturados para o método da API, habilite a criptografia em repouso para ajudar a protegê-los. Uma isenção está disponível para ambientes de pré-produção. | |
| 2082 | Criptografia, fundamentos criptográficos, redução dos requisitos de armazenamento e transferência física (17.1.53. C.04.) | Para ajudar a proteger os dados em repouso, habilite a criptografia para os buckets do S3. Como pode haver dados confidenciais em repouso em um bucket do Amazon S3, habilite a criptografia em repouso para ajudar a protegê-los. Para obter mais informações sobre o processo de criptografia e a administração, use as CMKs gerenciadas pelo cliente do AWS Key Management Service (AWS KMS). Uma isenção está disponível para buckets que contêm dados não sensíveis, desde que o SSE esteja habilitado. | |
| 3562 | Segurança de gateway, Gateways, Configuração de gateways (19.1.12. C.01.) | Garanta que o AWS WAF esteja habilitado no Elastic Load Balancers (ELB) para ajudar a proteger aplicações web. Um WAF ajuda a proteger aplicações web ou APIs contra explorações comuns da web. Essas explorações da web podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos em seu ambiente. Uma isenção está disponível se o balanceador de carga for a origem de uma CloudFront distribuição com o WAF ativado. | |
| 3562 | Segurança de gateway, Gateways, Configuração de gateways (19.1.12. C.01.) | Esse controle verifica se um estágio do API Gateway usa uma lista de controle de acesso à web (ACL) do AWS WAF. Esse controle falhará se uma ACL web regional do AWS WAF não estiver anexada a um estágio do REST API Gateway. O AWS WAF é um firewall de aplicações Web que ajuda a proteger aplicações Web e APIs contra ataques. Isso permite configurar um ACL, que é conjunto de regras que permitem, bloqueiam ou contam solicitações da web com base em regras e condições de segurança da web personalizáveis que você define. Certifique-se de que seu estágio do API Gateway esteja associado a uma ACL web do AWS WAF para ajudar a protegê-lo contra ataques maliciosos. Uma isenção está disponível se o API Gateway for a origem de uma CloudFront distribuição com o WAF ativado. | |
| 4333 | Gerenciamento de dados, filtragem de conteúdo, validação de conteúdo (20.3.7. C.02.) | Garanta que o AWS WAF esteja habilitado no Elastic Load Balancers (ELB) para ajudar a proteger aplicações web. Um WAF ajuda a proteger aplicações web ou APIs contra explorações comuns da web. Essas explorações da web podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos em seu ambiente. | |
| 4333 | Gerenciamento de dados, filtragem de conteúdo, validação de conteúdo (20.3.7. C.02.) | Esse controle verifica se um estágio do API Gateway usa uma lista de controle de acesso à web (ACL) do AWS WAF. Esse controle falhará se uma ACL web regional do AWS WAF não estiver anexada a um estágio do REST API Gateway. O AWS WAF é um firewall de aplicações Web que ajuda a proteger aplicações Web e APIs contra ataques. Isso permite configurar um ACL, que é conjunto de regras que permitem, bloqueiam ou contam solicitações da web com base em regras e condições de segurança da web personalizáveis que você define. Certifique-se de que seu estágio do API Gateway esteja associado a uma ACL web do AWS WAF para ajudar a protegê-lo contra ataques maliciosos. Uma isenção está disponível se o API Gateway for a origem de uma CloudFront distribuição com o WAF ativado. | |
| 4829 | Segurança de sistemas corporativos, computação em nuvem, disponibilidade do sistema (22.1.23. C.01.) | O Amazon Aurora armazena cópias dos dados em um cluster de banco de dados em várias zonas de disponibilidade em uma única região da AWS. O Aurora armazena essas cópia independentemente de as instâncias no cluster de banco de dados abrangerem várias zonas de disponibilidade. Quando os dados são gravados na instância principal de banco de dados, o Aurora replica os dados de forma síncrona nas zonas de disponibilidade para seis nós de armazenamento associados ao volume do cluster. Isso fornece redundância de dados, elimina I/O congelamentos e minimiza os picos de latência durante os backups do sistema. Executar uma instância de banco de dados com alta disponibilidade pode aumentar a disponibilidade durante a manutenção planejada do sistema e ajudar a proteger os bancos de dados contra falhas e interrupções da zona de disponibilidade. Essa regra verifica se a Multi-AZ replicação está habilitada nos clusters Amazon Aurora gerenciados pelo Amazon Relational Database Service (RDS). Uma isenção está disponível para ambientes de pré-produção. | |
| 4829 | Segurança de sistemas corporativos, computação em nuvem, disponibilidade do sistema (22.1.23. C.01.) | Multi-AZ o suporte no Amazon Relational Database Service (RDS) O Amazon Relational Database Service (RDS) fornece maior disponibilidade e durabilidade para instâncias de banco de dados. Quando você provisiona uma instância Multi-AZ de banco de dados, o Amazon RDS cria automaticamente uma instância de banco de dados primária e replica de forma síncrona os dados para uma instância em espera em uma zona de disponibilidade diferente. Cada zona de disponibilidade funciona em sua própria infraestrutura independente e fisicamente distinta, além de ser projetada para ser altamente confiável. No caso de falha na infraestrutura, o Amazon RDS executa um failover automático no modo de espera para que você possa retomar as operações do banco de dados assim que o failover for concluído. Uma isenção está disponível para ambientes de pré-produção. | |
| 4839 | Segurança de sistemas corporativos, computação em nuvem, acesso não autorizado (22.1.24. C.04.) | Para ajudar a proteger dados em repouso, garanta que seus tópicos do Amazon Simple Notification Service (Amazon SNS) exijam criptografia usando o AWS Key Management Service (AWS KMS). Como pode haver dados confidenciais em repouso em mensagens publicadas, habilite a criptografia em repouso para ajudar a protegê-los. Uma isenção está disponível quando as mensagens publicadas no tópico não contêm dados sensíveis. | |
| 4849 | Segurança de sistemas corporativos, Computação em Nuvem, Backup, Recuperação, Arquivamento e Remanência de Dados (22.1.26). C.01.) | Para ajudar nos processos de backup de dados, garanta que suas tabelas do Amazon DynamoDB façam parte de um plano do AWS Backup. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. Uma isenção está disponível quando uma solução de recuperação compensatória é configurada. | |
| 4849 | Segurança de sistemas corporativos, Computação em Nuvem, Backup, Recuperação, Arquivamento e Remanência de Dados (22.1.26). C.01.) | Para ajudar nos processos de backup de dados, garanta que seus volumes do Amazon Elastic Block Store (Amazon EBS) façam parte de um plano de backup da AWS. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. Uma isenção está disponível quando uma solução de recuperação compensatória é configurada. | |
| 4849 | Segurança de sistemas corporativos, Computação em Nuvem, Backup, Recuperação, Arquivamento e Remanência de Dados (22.1.26). C.01.) | Para ajudar nos processos de backup de dados, garanta que seus sistemas de arquivos do Amazon Elastic File System (Amazon EFS) façam parte de um plano de backup da AWS. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. Uma isenção está disponível quando uma solução de recuperação compensatória é configurada. | |
| 4849 | Segurança de sistemas corporativos, Computação em Nuvem, Backup, Recuperação, Arquivamento e Remanência de Dados (22.1.26). C.01.) | Para ajudar nos processos de backup de dados, garanta que suas instâncias do Amazon Relational Database Service (RDS) façam parte de um plano de backup do AWS. O AWS Backup é um serviço de backup totalmente gerenciado com uma solução de backup baseada em políticas. Essa solução simplifica o gerenciamento de backup e permite que você atenda aos requisitos comerciais e regulatórios de conformidade de backups. Uma isenção está disponível quando uma solução de recuperação compensatória é configurada. | |
| 4849 | Segurança de sistemas corporativos, Computação em Nuvem, Backup, Recuperação, Arquivamento e Remanência de Dados (22.1.26). C.01.) | O versionamento do bucket do Amazon Simple Storage Service (Amazon S3) ajuda a manter diversas variantes de um objeto no mesmo bucket do Amazon S3. Use o versionamento para preservar, recuperar e restaurar todas as versões de cada objeto armazenado no bucket do Amazon S3. O versionamento ajuda você a se recuperar facilmente de ações não intencionais de usuários e de falhas da aplicação. Uma isenção está disponível quando somente uma única variante de um objeto for criada ou quando uma solução de recuperação compensatória tiver sido configurada. | |
| 7466 | Segurança na nuvem pública, proteção de dados na nuvem pública, acessibilidade de dados (23.4.10. C.01.) | Garanta que o AWS WAF esteja habilitado no Elastic Load Balancers (ELB) para ajudar a proteger aplicações web. Um WAF ajuda a proteger aplicações web ou APIs contra explorações comuns da web. Essas explorações da web podem afetar a disponibilidade, comprometer a segurança ou consumir recursos excessivos em seu ambiente. | |
| 7466 | Segurança na nuvem pública, proteção de dados na nuvem pública, acessibilidade de dados (23.4.10. C.01.) | Esse controle verifica se um estágio do API Gateway usa uma lista de controle de acesso à web (ACL) do AWS WAF. Esse controle falhará se uma ACL web regional do AWS WAF não estiver anexada a um estágio do REST API Gateway. O AWS WAF é um firewall de aplicações Web que ajuda a proteger aplicações Web e APIs contra ataques. Isso permite configurar um ACL, que é conjunto de regras que permitem, bloqueiam ou contam solicitações da web com base em regras e condições de segurança da web personalizáveis que você define. Certifique-se de que seu estágio do API Gateway esteja associado a uma ACL web do AWS WAF para ajudar a protegê-lo contra ataques maliciosos. Uma isenção está disponível se o API Gateway for a origem de uma CloudFront distribuição com o WAF ativado. |
Modelo
################################################################################## # # Conformance Pack: # Operational Best Practices for NZISM Extension # # This conformance pack helps verify compliance with NZISM requirements. # ################################################################################## Resources: AlbWafEnabled: Condition: checkAlbWafEnabled Controls: [ '3562', '4333', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: alb-waf-enabled Scope: ComplianceResourceTypes: - AWS::ElasticLoadBalancingV2::LoadBalancer Source: Owner: AWS SourceIdentifier: ALB_WAF_ENABLED Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 20.3.7.C.02[CID:4333], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Data management/Conten..." ApiGwAssociatedWithWaf: Condition: checkApiGwAssociatedWithWaf Controls: [ '3562', '4333', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: api-gw-associated-with-waf Source: Owner: AWS SourceIdentifier: API_GW_ASSOCIATED_WITH_WAF Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 20.3.7.C.02[CID:4333], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Data management/Conten..." ApiGwCacheEnabledAndEncrypted: Condition: checkApiGwCacheEnabledAndEncrypted Controls: [ '2082' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: api-gw-cache-enabled-and-encrypted Scope: ComplianceResourceTypes: - AWS::ApiGateway::Stage Source: Owner: AWS SourceIdentifier: API_GW_CACHE_ENABLED_AND_ENCRYPTED Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements" DynamodbInBackupPlan: Condition: checkDynamodbInBackupPlan Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: dynamodb-in-backup-plan Source: Owner: AWS SourceIdentifier: DYNAMODB_IN_BACKUP_PLAN Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" EbsInBackupPlan: Condition: checkEbsInBackupPlan Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ebs-in-backup-plan Source: Owner: AWS SourceIdentifier: EBS_IN_BACKUP_PLAN Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" EfsInBackupPlan: Condition: checkEfsInBackupPlan Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: efs-in-backup-plan Source: Owner: AWS SourceIdentifier: EFS_IN_BACKUP_PLAN Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" RdsClusterMultiAzEnabled: Condition: checkRdsClusterMultiAzEnabled Controls: [ '4829' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-cluster-multi-az-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBCluster Source: Owner: AWS SourceIdentifier: RDS_CLUSTER_MULTI_AZ_ENABLED Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability" RdsInBackupPlan: Condition: checkRdsInBackupPlan Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-in-backup-plan Source: Owner: AWS SourceIdentifier: RDS_IN_BACKUP_PLAN Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" RdsMultiAzSupport: Condition: checkRdsMultiAzSupport Controls: [ '4829' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-multi-az-support Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_MULTI_AZ_SUPPORT Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability" S3BucketVersioningEnabled: Condition: checkS3BucketVersioningEnabled Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-bucket-versioning-enabled Scope: ComplianceResourceTypes: - AWS::S3::Bucket Source: Owner: AWS SourceIdentifier: S3_BUCKET_VERSIONING_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" S3DefaultEncryptionKms: Condition: checkS3DefaultEncryptionKms Controls: [ '2082' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-default-encryption-kms Scope: ComplianceResourceTypes: - AWS::S3::Bucket Source: Owner: AWS SourceIdentifier: S3_DEFAULT_ENCRYPTION_KMS Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements" SnsEncryptedKms: Condition: checkSnsEncryptedKms Controls: [ '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: sns-encrypted-kms Scope: ComplianceResourceTypes: - AWS::SNS::Topic Source: Owner: AWS SourceIdentifier: SNS_ENCRYPTED_KMS Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access"
