As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Melhores práticas operacionais para o NZISM 3.9 (NZ Transition)
Os pacotes de conformidade fornecem uma estrutura de conformidade de uso geral projetada para permitir que você crie verificações de governança de segurança, operação ou otimização de custos usando regras e ações de remediação gerenciadas ou personalizadas. AWS Config AWS Config Os pacotes de conformidade, como os modelos de amostra, não foram projetados para garantir totalmente a conformidade com um padrão específico de governança ou conformidade. Você é responsável por avaliar se o seu uso dos serviços atende aos requisitos legais e regulamentares aplicáveis.
Veja a seguir um exemplo de mapeamento entre o Manual de Segurança da Informação (NZISM) 2025-11, versão 3.9, do Departamento de Segurança das Comunicações do Governo da Nova Zelândia (GCSB)
Este exemplo de modelo de pacote de conformidade contém mapeamentos para controles dentro da estrutura NZISM, que é parte integrante da estrutura de Requisitos de Segurança de Proteção (PSR) que define as expectativas do governo da Nova Zelândia em relação ao gerenciamento de pessoal, informações e segurança física.
A parte básica desse pacote de conformidade pode ser implantada em Sydney e nas regiões globais. A parte NZ Transition contém o subconjunto das regras do Foundation Config que estão atualmente disponíveis na região da Nova Zelândia. Atualmente, a parte da Fundação não será implantada na região da Nova Zelândia. A parte de extensão desse pacote de conformidade pode ser implantada nas regiões de Sydney e Nova Zelândia para ampliar as regras de Config fornecidas nas partes Foundation e NZ Transition.
O NZISM está licenciado sob a licença Creative Commons Attribution 4.0 Nova Zelândia, disponível em. https://creativecommons.org/licenses/by/4.0/
| ID de controle | Descrição do controle | Regra do AWS Config | Orientação |
|---|---|---|---|
| 161 | Segurança de software, desenvolvimento de aplicativos web, conteúdo do site da agência (14.5.6. C.01.) | Esse controle verifica se uma CloudFront distribuição da Amazon está configurada para retornar um objeto específico que é o objeto raiz padrão. O controle falhará se a CloudFront distribuição não tiver um objeto raiz padrão configurado. Às vezes, um usuário pode solicitar a URL raiz da distribuição em vez de um objeto na distribuição. Quando isso acontece, a especificação de um objeto raiz padrão pode ajudá-lo a evitar a exposição do conteúdo de sua distribuição da web. Essa regra deve ser aplicada na região leste dos EUA-1. Implemente com o parâmetro do modelo DeployEdgeRules = true | |
| 167 | Segurança de software, Desenvolvimento de aplicativos Web, Aplicativos Web (14.5.8. C.01.) | Garanta que a integridade da rede seja protegida garantindo que os certificados X509 sejam emitidos pelo AWS ACM. Esses certificados devem ser válidos e estar dentro do prazo de validade. Essa regra exige um valor para diasToExpiration. O valor é de 30 dias. | |
| 167 | Segurança de software, Desenvolvimento de aplicativos Web, Aplicativos Web (14.5.8. C.01.) | Configure os Elastic Load Balancers (ELBs) com receptores SSL ou HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los. | |
| 1847 | Controle de acesso e senhas, identificação, autenticação e senhas, proteção de dados de autenticação em trânsito (16.1.37. C.01.) | Para ajudar a proteger os dados em trânsito, garanta que o Application Load Balancer redirecione automaticamente as solicitações HTTP não criptografadas para HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los. | |
| 1847 | Controle de acesso e senhas, identificação, autenticação e senhas, proteção de dados de autenticação em trânsito (16.1.37. C.01.) | Esse controle verifica se uma CloudFront distribuição da Amazon exige que os espectadores usem HTTPS diretamente ou se ela usa redirecionamento. O controle falhará se ViewerProtocolPolicy estiver definido como allow-all por padrão CacheBehavior ou para CacheBehaviors. O HTTPS (TLS) pode ser usado para ajudar a evitar que invasores espionem ou manipulem tráfego de rede usando ataques person-in-the-middle (intermediários) ou similares. Somente conexões criptografadas por HTTPS (TLS) devem ser permitidas. Essa regra deve ser aplicada na região leste dos EUA-1. Implemente com o parâmetro do modelo DeployEdgeRules = true | |
| 1847 | Controle de acesso e senhas, identificação, autenticação e senhas, proteção de dados de autenticação em trânsito (16.1.37. C.01.) | Esse controle verifica se os domínios do Elasticsearch têm a criptografia de nó a nó habilitada. Esse controle falhará se a criptografia de nó a nó for desabilitada no domínio. O HTTPS (TLS) pode ser usado para ajudar a evitar que invasores espionem ou manipulem tráfego de rede usando ataques person-in-the-middle (intermediários) ou similares. Somente conexões criptografadas por HTTPS (TLS) devem ser permitidas. Habilitar a criptografia de nó a nó para domínios do Elasticsearch garante que as comunicações dentro do cluster sejam criptografadas em trânsito. | |
| 1847 | Controle de acesso e senhas, identificação, autenticação e senhas, proteção de dados de autenticação em trânsito (16.1.37. C.01.) | Configure os Elastic Load Balancers (ELBs) com receptores SSL ou HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los. | |
| 1998 | Controle de acesso e senhas, registro e auditoria de eventos, manutenção de registros de gerenciamento do sistema (16.6.6. C.02.) | Você deve configurar CloudTrail com o CloudWatch Logs para monitorar seus registros de trilhas e ser notificado quando ocorrer uma atividade específica. Essa regra verifica se as CloudTrail trilhas da AWS estão configuradas para enviar registros para os CloudWatch registros da Amazon. | |
| 1998 | Controle de acesso e senhas, registro e auditoria de eventos, manutenção de registros de gerenciamento do sistema (16.6.6. C.02.) | A AWS CloudTrail pode ajudar na não repúdio registrando ações do AWS Management Console e chamadas de API. Você pode identificar os usuários e as contas da AWS que ligaram para um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos no AWS CloudTrail Record Contents. | |
| 1998 | Controle de acesso e senhas, registro e auditoria de eventos, manutenção de registros de gerenciamento do sistema (16.6.6. C.02.) | Uma duração mínima dos dados de log de eventos deve ser retida para os grupos de logs a fim de ajudar na solução de problemas e nas investigações forenses. A falta de dados de log de eventos anteriores disponíveis dificulta a reconstrução e a identificação de eventos possivelmente mal-intencionados. A retenção mínima é de 18 meses. | |
| 2013 | Controle de acesso e senhas, registro e auditoria de eventos, eventos adicionais a serem registrados (16.6.10. C.02.) | Esse controle verifica se o registro de acesso ao servidor está habilitado nas CloudFront distribuições. O controle falhará se o registro de acesso não estiver habilitado para uma distribuição. CloudFront os registros de acesso fornecem informações detalhadas sobre cada solicitação do usuário que CloudFront recebe. Cada registro em log contém informações como a data e a hora em que a solicitação foi recebida, o endereço IP do visualizador que fez a solicitação, a origem da solicitação e o número da porta da solicitação do visualizador. Esses logs são úteis para aplicações como auditorias de segurança e acesso e investigação forense. Essa regra deve ser aplicada na região leste dos EUA-1. Implemente com o parâmetro do modelo DeployEdgeRules = true | |
| 2013 | Controle de acesso e senhas, registro e auditoria de eventos, eventos adicionais a serem registrados (16.6.10. C.02.) | A AWS CloudTrail pode ajudar na não repúdio registrando ações do AWS Management Console e chamadas de API. Você pode identificar os usuários e as contas da AWS que ligaram para um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos no AWS CloudTrail Record Contents. | |
| 2013 | Controle de acesso e senhas, registro e auditoria de eventos, eventos adicionais a serem registrados (16.6.10. C.02.) | A atividade do Elastic Load Balancing é um ponto central de comunicação em um ambiente. Habilite o registro em log do ELB. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor. | |
| 2013 | Controle de acesso e senhas, registro e auditoria de eventos, eventos adicionais a serem registrados (16.6.10. C.02.) | Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas. | |
| 2022 | Controle de acesso e senhas, registro e auditoria de eventos, proteção de registros de eventos (16.6.12. C.01.) | Utilize a validação do arquivo de CloudTrail log da AWS para verificar a integridade dos CloudTrail registros. A validação do arquivo de log ajuda a determinar se um arquivo de log foi modificado, excluído ou inalterado após a CloudTrail entrega. Esse recurso foi criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinatura digital. Isso torna computacionalmente inviável modificar, excluir ou CloudTrail falsificar arquivos de log sem detecção. | |
| 2022 | Controle de acesso e senhas, registro e auditoria de eventos, proteção de registros de eventos (16.6.12. C.01.) | Para ajudar a proteger dados confidenciais em repouso, garanta que a criptografia esteja habilitada para seus grupos de CloudWatch registros da Amazon. | |
| 2028 | Controle de acesso e senhas, registro e auditoria de eventos, arquivos de registro de eventos (16.6.13. C.01.) | Uma duração mínima dos dados de log de eventos deve ser retida para os grupos de logs a fim de ajudar na solução de problemas e nas investigações forenses. A falta de dados de log de eventos anteriores disponíveis dificulta a reconstrução e a identificação de eventos possivelmente mal-intencionados. A retenção mínima é de 18 meses. | |
| 2082 | Criptografia, fundamentos criptográficos, redução dos requisitos de armazenamento e transferência física (17.1.53. C.04.) | Como podem existir dados confidenciais e para ajudar a proteger os dados em repouso, garanta que a criptografia esteja habilitada para suas CloudTrail trilhas na AWS. | |
| 2082 | Criptografia, fundamentos criptográficos, redução dos requisitos de armazenamento e transferência física (17.1.53. C.04.) | Para ajudar a proteger os dados em repouso, habilite a criptografia para os volumes do Amazon Elastic Block Store (Amazon EBS). Como pode haver dados confidenciais em repouso nesses volumes, habilite a criptografia em repouso para ajudar a protegê-los. | |
| 2082 | Criptografia, fundamentos criptográficos, redução dos requisitos de armazenamento e transferência física (17.1.53. C.04.) | Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para o Amazon Elastic File System (EFS). | |
| 2082 | Criptografia, fundamentos criptográficos, redução dos requisitos de armazenamento e transferência física (17.1.53. C.04.) | Este controle verifica se os domínios do Elasticsearch têm a configuração de criptografia em repouso habilitada. Ocorrerá uma falha na verificação se a criptografia em repouso não estiver habilitada. Para obter uma camada de segurança adicional para dados sensíveis, configure seu domínio no Elasticsearch Service para ser criptografado em repouso. Quando você configura a criptografia de dados em repouso, o Amazon Key Management Service (KMS) armazena e gerencia suas chaves de criptografia. Para realizar a criptografia, o AWS KMS usa o algoritmo Advanced Encryption Standard com chaves de 256 bits (). AES-256 | |
| 2082 | Criptografia, fundamentos criptográficos, redução dos requisitos de armazenamento e transferência física (17.1.53. C.04.) | Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para os volumes do Amazon Elastic Block Store (Amazon EBS). | |
| 2082 | Criptografia, fundamentos criptográficos, redução dos requisitos de armazenamento e transferência física (17.1.53. C.04.) | Habilite a criptografia para os instantâneos do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso, habilite a criptografia em repouso para ajudar a protegê-los. | |
| 2082 | Criptografia, fundamentos criptográficos, redução dos requisitos de armazenamento e transferência física (17.1.53. C.04.) | Para ajudar a proteger os dados em repouso, habilite a criptografia para as instâncias do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso nas instâncias do Amazon RDS, habilite a criptografia em repouso para ajudar a protegê-los. | |
| 2082 | Criptografia, fundamentos criptográficos, redução dos requisitos de armazenamento e transferência física (17.1.53. C.04.) | Para ajudar a proteger os dados em repouso, habilite a criptografia para os buckets do Amazon Simple Storage Service (Amazon S3). Como pode haver dados confidenciais em repouso nos buckets do Amazon S3, habilite a criptografia para ajudar a protegê-los. | |
| 2090 | Criptografia, Fundamentos Criptográficos, Proteção de Informações e Sistemas (17.1.55. C.02.) | Para ajudar a proteger os dados em trânsito, garanta que o Application Load Balancer redirecione automaticamente as solicitações HTTP não criptografadas para HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los. | |
| 2090 | Criptografia, Fundamentos Criptográficos, Proteção de Informações e Sistemas (17.1.55. C.02.) | Configure os Elastic Load Balancers (ELBs) com receptores SSL ou HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los. | |
| 2090 | Criptografia, Fundamentos Criptográficos, Proteção de Informações e Sistemas (17.1.55. C.02.) | Certifique-se de que seus clusters do Amazon Redshift exijam TLS/SSL criptografia para se conectar aos clientes SQL. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los. | |
| 2598 | Criptografia, segurança da camada de transporte, usando TLS (17.4.16. C.01.) | Para ajudar a proteger os dados em trânsito, certifique-se de que seus ouvintes ElasticLoadBalancer SSL clássicos estejam usando uma política de segurança personalizada. Essas políticas podem fornecer vários algoritmos criptográficos de alta resistência para ajudar a garantir comunicações de rede criptografadas entre sistemas. Essa regra exige que você defina uma política de segurança personalizada para seus receptores de SSL. A política de segurança é: Protocol-TLSv1.2,ECDHE-ECDSA-AES256-GCM-SHA384. | |
| 2600 | Criptografia, segurança da camada de transporte, usando TLS (17.4.16. C.02.) | Para ajudar a proteger os dados em trânsito, certifique-se de que seus ouvintes ElasticLoadBalancer SSL clássicos estejam usando uma política de segurança personalizada. Essas políticas podem fornecer vários algoritmos criptográficos de alta resistência para ajudar a garantir comunicações de rede criptografadas entre sistemas. Essa regra exige que você defina uma política de segurança personalizada para seus receptores de SSL. A política de segurança padrão é: Protocol-TLSv1.2,ECDHE-ECDSA-AES256-GCM-SHA384. | |
| 2726 | Criptografia, Secure Shell, acesso remoto automatizado (17.5.8. C.02.) | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar a gerenciar o acesso à rede fornecendo filtragem monitorada do tráfego de entrada e saída da rede para os recursos da AWS. Não é permitido o tráfego de entrada (ou remoto) a partir da 0.0.0. 0/0 a porta 22 em seus recursos ajuda você a restringir o acesso remoto. | |
| 3021 | Criptografia, gerenciamento de chaves, conteúdo de KMPs (17.9.25. C.01.) | O Amazon Key Management Service (KMS) permite que os clientes alternem a chave de apoio, que é o material chave armazenado no AWS KMS e está vinculado ao ID da chave da CMK. É a chave de backup usada para executar operações de criptografia, por exemplo, criptografia e descriptografia. No momento, a rotação de chaves automatizada retém todas as chaves de backup anteriores para que a descriptografia de dados criptografados seja transparente. A rotação de chaves de criptografia ajuda a reduzir o impacto em potencial de uma chave comprometida porque os dados criptografados com uma nova chave não podem ser acessados com uma chave anterior que pode ter sido exposta. | |
| 3205 | Segurança de rede, gerenciamento de rede, limitação do acesso à rede (18.1.13. C.02.) | Gerencie o acesso aos recursos na Nuvem AWS garantindo que as portas comuns sejam restritas nos grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2). Não restringir o acesso às portas a fontes confiáveis pode permitir ataques contra a disponibilidade, a integridade e a confidencialidade dos sistemas. Ao restringir o acesso a recursos dentro de um grupo de segurança da Internet (0.0.0). 0/0) o acesso remoto pode ser controlado aos sistemas internos. A lista de portas de internet autorizadas é: somente 443. | |
| 3449 | Segurança de produtos, correção e atualização de produtos, correção de vulnerabilidades em produtos (12.4.4. C.02.) | Essa regra garante que os clusters do Amazon Redshift tenham as configurações preferidas da organização. Especificamente, que eles tenham janelas de manutenção preferenciais e períodos automatizados de retenção de instantâneos para o banco de dados. Essa regra define allow VersionUpgrade como TRUE. | |
| 3452 | Segurança de produtos, correção e atualização de produtos, correção de vulnerabilidades em produtos (12.4.4. C.05.) | Esse controle verifica se as atualizações automáticas de versões secundárias estão habilitadas para a instância do banco de dados do RDS. A ativação de atualizações automáticas de versões secundárias garante que as últimas atualizações de versões secundárias do sistema de gerenciamento de banco de dados relacional (RDBMS) sejam instaladas. Essas atualizações podem incluir patches de segurança e correções de erros. Manter-se atualizado com a instalação do patch é uma etapa importante para proteger os sistemas. | |
| 3453 | Segurança de produtos, correção e atualização de produtos, correção de vulnerabilidades em produtos (12.4.4. C.06.) | Essa regra garante que os clusters do Amazon Redshift tenham as configurações preferidas da organização. Especificamente, que eles tenham janelas de manutenção preferenciais e períodos automatizados de retenção de instantâneos para o banco de dados. Essa regra define allow VersionUpgrade como TRUE. | |
| 3562 | Segurança de gateway, Gateways, Configuração de gateways (19.1.12. C.01.) | Esse controle verifica se CloudFront as distribuições estão associadas às ACLs web do AWS WAF ou do AWS WAFv2. O controle falhará se a distribuição não estiver associada a uma ACL da web. O AWS WAF é um firewall de aplicações Web que ajuda a proteger aplicações Web e APIs contra ataques. Isso permite configurar um conjunto de regras chamado de lista de controle de acesso à web (ACL da web) que permitem, bloqueiam ou contam solicitações da web com base em regras e condições de segurança da web personalizáveis que você define. Garanta que sua CloudFront distribuição esteja associada a uma ACL web do AWS WAF para ajudar a protegê-la contra ataques maliciosos. Essa regra deve ser aplicada na região leste dos EUA-1. Implemente com o parâmetro do modelo DeployEdgeRules = true | |
| 3562 | Segurança de gateway, Gateways, Configuração de gateways (19.1.12. C.01.) | Gerencie o acesso à Nuvem AWS garantindo que as instâncias de replicação do AWS Database Migration Service (DMS) não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas. | |
| 3562 | Segurança de gateway, Gateways, Configuração de gateways (19.1.12. C.01.) | Habilite o método serviço de metadados de instância versão 2 (IMDSv2) para ajudar a proteger o acesso e o controle dos metadados da instância do Amazon Elastic Compute Cloud (Amazon EC2). O método IMDSv2 usa controles baseados em sessão. Com o IMDSv2, os controles podem ser implementados para restringir alterações nos metadados da instância. | |
| 3562 | Segurança de gateway, Gateways, Configuração de gateways (19.1.12. C.01.) | Gerencie o acesso à Nuvem AWS garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais, e o controle de acesso é necessário para essas contas. | |
| 3562 | Segurança de gateway, Gateways, Configuração de gateways (19.1.12. C.01.) | Implemente instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em um Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços no Amazon VPC, sem exigir um gateway da Internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Atribua instâncias do Amazon EC2 a um Amazon VPC para gerenciar adequadamente o acesso. | |
| 3562 | Segurança de gateway, Gateways, Configuração de gateways (19.1.12. C.01.) | Esse controle verifica se os domínios do Elasticsearch estão em uma nuvem privada virtual (VPC). Ele não avalia a configuração de roteamento da sub-rede da VPC para determinar a acessibilidade pública. É necessário garantir que os domínios do Elasticsearch não estejam anexados a sub-redes públicas. Os domínios do Elasticsearch implantados em uma VPC podem se comunicar com recursos da VPC pela rede privada da AWS, sem a necessidade de atravessar a Internet pública. Essa configuração aumenta a postura de segurança ao limitar o acesso aos dados em trânsito. As VPCs fornecem vários controles de rede para proteger o acesso aos domínios do Elasticsearch, como ACL de rede e grupos de segurança. | |
| 3562 | Segurança de gateway, Gateways, Configuração de gateways (19.1.12. C.01.) | Gerencie o acesso aos recursos na Nuvem AWS garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas. | |
| 3562 | Segurança de gateway, Gateways, Configuração de gateways (19.1.12. C.01.) | Gerencie o acesso aos recursos na nuvem da AWS garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas. | |
| 3562 | Segurança de gateway, Gateways, Configuração de gateways (19.1.12. C.01.) | Gerencie o acesso aos recursos na Nuvem AWS garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Esta regra ajuda a manter os dados sensíveis protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra define PublicAcls ignorar como VERDADEIRO, PublicPolicy bloquear como VERDADEIRO, PublicAcls bloquear como VERDADEIRO e PublicBuckets restringir como VERDADEIRO. | |
| 3562 | Segurança de gateway, Gateways, Configuração de gateways (19.1.12. C.01.) | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem monitorada do tráfego de entrada e saída da rede para os recursos da AWS. Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto aos seus recursos da AWS. | |
| 3562 | Segurança de gateway, Gateways, Configuração de gateways (19.1.12. C.01.) | Os registros de fluxo da nuvem privada virtual (VPC) fornecem registros detalhados de informações sobre o tráfego IP que entra e sai das interfaces de rede em sua Amazon VPC. Por padrão, o registro de log de fluxo inclui valores para os diferentes componentes do fluxo de IP, incluindo a origem, o destino e o protocolo. | |
| 3623 | Segurança de gateway, gateways, zonas desmilitarizadas (19.1.14. C.02.) | Esse controle verifica se os domínios do Elasticsearch estão em uma nuvem privada virtual (VPC). Ele não avalia a configuração de roteamento da sub-rede da VPC para determinar a acessibilidade pública. É necessário garantir que os domínios do Elasticsearch não estejam anexados a sub-redes públicas. Os domínios do Elasticsearch implantados em uma VPC podem se comunicar com recursos da VPC pela rede privada da AWS, sem a necessidade de atravessar a Internet pública. Essa configuração aumenta a postura de segurança ao limitar o acesso aos dados em trânsito. As VPCs fornecem vários controles de rede para proteger o acesso aos domínios do Elasticsearch, como ACL de rede e grupos de segurança. | |
| 3623 | Segurança de gateway, gateways, zonas desmilitarizadas (19.1.14. C.02.) | Gerencie o acesso aos recursos na Nuvem AWS garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas. | |
| 3623 | Segurança de gateway, gateways, zonas desmilitarizadas (19.1.14. C.02.) | Gerencie o acesso aos recursos na nuvem da AWS garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas. | |
| 3875 | Segurança de rede, detecção e prevenção de intrusões, gerenciamento e correlação de eventos (18.4.12. C.01.) | O AWS Security Hub ajuda a monitorar pessoal, conexões, dispositivos e software não autorizados. O AWS Security Hub agrega, organiza e prioriza os alertas ou descobertas de segurança de vários serviços da AWS. Alguns desses serviços são o Amazon Security Hub, o Amazon Inspector, o Amazon Macie, o AWS Identity and Access Management (IAM) Access Analyzer e o AWS Firewall Manager, além de soluções de parceiros da AWS. | |
| 4441 | Gerenciamento de dados, bancos de dados, arquivos de banco de dados (20.4.4. C.02.) | Este controle verifica se os domínios do Elasticsearch têm a configuração de criptografia em repouso habilitada. Ocorrerá uma falha na verificação se a criptografia em repouso não estiver habilitada. Para obter uma camada de segurança adicional para dados sensíveis, configure seu domínio no Elasticsearch Service para ser criptografado em repouso. Quando você configura a criptografia de dados em repouso, o Amazon Key Management Service (KMS) armazena e gerencia suas chaves de criptografia. Para realizar a criptografia, o AWS KMS usa o algoritmo Advanced Encryption Standard com chaves de 256 bits (). AES-256 | |
| 4441 | Gerenciamento de dados, bancos de dados, arquivos de banco de dados (20.4.4. C.02.) | Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas. | |
| 4441 | Gerenciamento de dados, bancos de dados, arquivos de banco de dados (20.4.4. C.02.) | Habilite a criptografia para os instantâneos do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso, habilite a criptografia em repouso para ajudar a protegê-los. | |
| 4441 | Gerenciamento de dados, bancos de dados, arquivos de banco de dados (20.4.4. C.02.) | Gerencie o acesso aos recursos na Nuvem AWS garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas. | |
| 4441 | Gerenciamento de dados, bancos de dados, arquivos de banco de dados (20.4.4. C.02.) | Para ajudar a proteger os dados em repouso, habilite a criptografia para as instâncias do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso nas instâncias do Amazon RDS, habilite a criptografia em repouso para ajudar a protegê-los. | |
| 4441 | Gerenciamento de dados, bancos de dados, arquivos de banco de dados (20.4.4. C.02.) | Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra define o cluster DbEncrypted como TRUE e LoggingEnabled como TRUE. | |
| 4445 | Gerenciamento de dados, bancos de dados, responsabilidade (20.4.5. C.02.) | Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas. | |
| 4445 | Gerenciamento de dados, bancos de dados, responsabilidade (20.4.5. C.02.) | Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra define o cluster DbEncrypted como TRUE e LoggingEnabled como TRUE. | |
| 4829 | Segurança de sistemas corporativos, computação em nuvem, disponibilidade do sistema (22.1.23. C.01.) | O escalonamento automático do Amazon DynamoDB usa o serviço AWS Application Auto Scaling para ajustar a capacidade de transferência provisionada que responde automaticamente aos padrões reais de tráfego. Isso permite que uma tabela ou um índice secundário global aumente sua read/write capacidade provisionada para lidar com aumentos repentinos no tráfego, sem limitação. | |
| 4829 | Segurança de sistemas corporativos, computação em nuvem, disponibilidade do sistema (22.1.23. C.01.) | Habilite o balanceamento de carga entre zonas para os Elastic Load Balancers (ELBs) para ajudar a manter a capacidade e a disponibilidade adequadas. O balanceamento de carga entre zonas reduz a necessidade de manter números equivalentes de instâncias em cada zona de disponibilidade habilitada. Também melhora a capacidade da aplicação de lidar com a perda de uma ou mais instâncias. | |
| 4838 | Segurança de sistemas corporativos, computação em nuvem, acesso não autorizado (22.1.24. C.03.) | A coleta de eventos de dados do Simple Storage Service (Amazon S3) ajuda a detectar qualquer atividade anômala. Os detalhes incluem informações da conta da AWS que acessaram um bucket do Amazon S3, endereço IP e horário do evento. | |
| 4838 | Segurança de sistemas corporativos, computação em nuvem, acesso não autorizado (22.1.24. C.03.) | Gerencie o acesso à Nuvem AWS garantindo que os snapshots do Amazon Elastic Block Store (EBS) não sejam restauráveis publicamente. Os instantâneos de volume do EBS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas. | |
| 4838 | Segurança de sistemas corporativos, computação em nuvem, acesso não autorizado (22.1.24. C.03.) | Gerencie o acesso aos recursos na Nuvem AWS garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Esta regra ajuda a manter os dados sensíveis protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra define ignore PublicAcls como TRUE, block PublicPolicy como TRUE, block PublicAcls como TRUE e restringe PublicBuckets como TRUE. | |
| 4838 | Segurança de sistemas corporativos, computação em nuvem, acesso não autorizado (22.1.24. C.03.) | Gerencie o acesso aos recursos na Nuvem AWS permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| 4838 | Segurança de sistemas corporativos, computação em nuvem, acesso não autorizado (22.1.24. C.03.) | Gerencie o acesso aos recursos na Nuvem AWS permitindo que somente usuários, processos e dispositivos autorizados acessem os buckets do Amazon Simple Storage Service (Amazon S3). O gerenciamento do acesso deve ser consistente com a classificação dos dados. | |
| 4839 | Segurança de sistemas corporativos, computação em nuvem, acesso não autorizado (22.1.24. C.04.) | Habilite a criptografia para as tabelas do Amazon DynamoDB. Como pode haver dados confidenciais em repouso nessas tabelas, habilite a criptografia em repouso para ajudar a protegê-los. Por padrão, as tabelas do DynamoDB são criptografadas com uma chave Amazon Key Management Service (KMS) de propriedade da AWS. | |
| 4839 | Segurança de sistemas corporativos, computação em nuvem, acesso não autorizado (22.1.24. C.04.) | Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para o Amazon Elastic File System (EFS). | |
| 4839 | Segurança de sistemas corporativos, computação em nuvem, acesso não autorizado (22.1.24. C.04.) | Este controle verifica se os domínios do Elasticsearch têm a configuração de criptografia em repouso habilitada. Ocorrerá uma falha na verificação se a criptografia em repouso não estiver habilitada. Para obter uma camada de segurança adicional para dados sensíveis, configure seu domínio no Elasticsearch Service para ser criptografado em repouso. Quando você configura a criptografia de dados em repouso, o Amazon Key Management Service (KMS) armazena e gerencia suas chaves de criptografia. Para realizar a criptografia, o AWS KMS usa o algoritmo Advanced Encryption Standard com chaves de 256 bits (). AES-256 | |
| 4839 | Segurança de sistemas corporativos, computação em nuvem, acesso não autorizado (22.1.24. C.04.) | Esse controle verifica se os domínios do Elasticsearch têm a criptografia de nó a nó habilitada. Esse controle falhará se a criptografia de nó a nó for desabilitada no domínio. O HTTPS (TLS) pode ser usado para ajudar a evitar que invasores espionem ou manipulem tráfego de rede usando ataques person-in-the-middle (intermediários) ou similares. Somente conexões criptografadas por HTTPS (TLS) devem ser permitidas. Habilitar a criptografia de nó a nó para domínios do Elasticsearch garante que as comunicações dentro do cluster sejam criptografadas em trânsito. | |
| 4839 | Segurança de sistemas corporativos, computação em nuvem, acesso não autorizado (22.1.24. C.04.) | Configure os Elastic Load Balancers (ELBs) com receptores SSL ou HTTPS. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los. | |
| 4839 | Segurança de sistemas corporativos, computação em nuvem, acesso não autorizado (22.1.24. C.04.) | Como pode haver dados confidenciais, e para ajudar a proteger os dados em repouso, habilite a criptografia para os volumes do Amazon Elastic Block Store (Amazon EBS). | |
| 4839 | Segurança de sistemas corporativos, computação em nuvem, acesso não autorizado (22.1.24. C.04.) | Habilite a criptografia para os instantâneos do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso, habilite a criptografia em repouso para ajudar a protegê-los. | |
| 4839 | Segurança de sistemas corporativos, computação em nuvem, acesso não autorizado (22.1.24. C.04.) | Para ajudar a proteger os dados em repouso, habilite a criptografia para as instâncias do Amazon Relational Database Service (Amazon RDS). Como pode haver dados confidenciais em repouso nas instâncias do Amazon RDS, habilite a criptografia em repouso para ajudar a protegê-los. | |
| 4839 | Segurança de sistemas corporativos, computação em nuvem, acesso não autorizado (22.1.24. C.04.) | Para proteger os dados em repouso, habilite a criptografia para os clusters do Amazon Redshift. Implante também as configurações necessárias nos clusters do Amazon Redshift. O registro em log de auditoria deve ser habilitado para fornecer informações sobre conexões e atividades do usuário no banco de dados. Essa regra define o cluster DbEncrypted como TRUE e LoggingEnabled como TRUE. | |
| 4839 | Segurança de sistemas corporativos, computação em nuvem, acesso não autorizado (22.1.24. C.04.) | Certifique-se de que seus clusters do Amazon Redshift exijam TLS/SSL criptografia para se conectar aos clientes SQL. Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los. | |
| 4839 | Segurança de sistemas corporativos, computação em nuvem, acesso não autorizado (22.1.24. C.04.) | Para ajudar a proteger dados em trânsito, os buckets do Amazon Simple Storage Service (Amazon S3) devem exigir solicitações de uso do Secure Socket Layer (SSL). Como pode haver dados confidenciais, habilite a criptografia em trânsito para ajudar a protegê-los. | |
| 4839 | Segurança de sistemas corporativos, computação em nuvem, acesso não autorizado (22.1.24. C.04.) | Para ajudar a proteger dados em repouso, garanta que a criptografia com o AWS Key Management Service (AWS KMS) esteja habilitada para segredos do AWS Secrets Manager. Como pode haver dados confidenciais em repouso nos segredos do Secrets Manager, habilite a criptografia em repouso para ajudar a protegê-los. | |
| 4849 | Segurança de sistemas corporativos, Computação em Nuvem, Backup, Recuperação, Arquivamento e Remanência de Dados (22.1.26). C.01.) | O recurso de backup do Amazon Relational Database Service (RDS) Amazon Relational Database Service (RDS) cria backups de seus bancos de dados e registros de transações. O Amazon RDS cria automaticamente um instantâneo do volume de armazenamento da instância de banco de dados, fazendo backup de toda a instância de banco de dados. O sistema permite que você defina períodos de retenção específicos para atender aos requisitos de resiliência. | |
| 4849 | Segurança de sistemas corporativos, Computação em Nuvem, Backup, Recuperação, Arquivamento e Remanência de Dados (22.1.26). C.01.) | Habilite essa regra para verificar se o backup das informações foi realizado. Ela também mantém os backups ao garantir que a recuperação para um ponto no tempo seja habilitada no Amazon DynamoDB. A recuperação mantém backups contínuos da tabela nos últimos 35 dias. | |
| 4849 | Segurança de sistemas corporativos, Computação em Nuvem, Backup, Recuperação, Arquivamento e Remanência de Dados (22.1.26). C.01.) | Quando os backups automáticos estão habilitados, a Amazon ElastiCache cria um backup do cluster diariamente. O backup pode ser retido por vários dias, conforme especificado pela organização. Os backups automáticos podem ajudar a proteger contra a perda de dados. Em caso de falha, é possível criar um cluster e restaurar os dados usando o backup mais recente. | |
| 4849 | Segurança de sistemas corporativos, Computação em Nuvem, Backup, Recuperação, Arquivamento e Remanência de Dados (22.1.26). C.01.) | Certifique-se de que as instâncias do Amazon Relational Database Service (RDS) tenham a proteção contra exclusão ativada. Use a proteção contra exclusão para evitar que as instâncias do RDS sejam excluídas de forma acidental ou mal-intencionada, o que pode levar à perda de disponibilidade para suas aplicações. | |
| 4849 | Segurança de sistemas corporativos, Computação em Nuvem, Backup, Recuperação, Arquivamento e Remanência de Dados (22.1.26). C.01.) | Habilite a proteção contra exclusão das instâncias do Amazon Relational Database Service (Amazon RDS). Use a proteção contra exclusão para evitar que as instâncias do Amazon RDS sejam excluídas de forma acidental ou mal-intencionada, o que pode levar à perda de disponibilidade das aplicações. | |
| 4849 | Segurança de sistemas corporativos, Computação em Nuvem, Backup, Recuperação, Arquivamento e Remanência de Dados (22.1.26). C.01.) | Para ajudar nos processos de backup de dados, os clusters do Amazon Redshift devem ter instantâneos automatizados. Quando snapshots automatizados são habilitados para um cluster, o Redshift tira snapshots desse cluster periodicamente. Por padrão, o Redshift tira um snapshot a cada oito horas ou a cada 5 GB por nó de alterações de dados, o que ocorrer primeiro. | |
| 6860 | Controle de acesso e senhas, gerenciamento de acesso privilegiado, monitoramento e revisão (16.4.35. C.02.) | Você deve configurar CloudTrail com o CloudWatch Logs para monitorar seus registros de trilhas e ser notificado quando ocorrer uma atividade específica. Essa regra verifica se as CloudTrail trilhas da AWS estão configuradas para enviar registros para os CloudWatch registros da Amazon. | |
| 6860 | Controle de acesso e senhas, gerenciamento de acesso privilegiado, monitoramento e revisão (16.4.35. C.02.) | A AWS CloudTrail pode ajudar na não repúdio registrando ações do AWS Management Console e chamadas de API. Você pode identificar os usuários e as contas da AWS que ligaram para um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos no AWS CloudTrail Record Contents. | |
| 6861 | Controle de acesso e senhas, gerenciamento de acesso privilegiado, monitoramento e revisão (16.4.35. C.03.) | Essa regra ajuda a garantir o uso das melhores práticas de segurança recomendadas pela AWS para a AWS CloudTrail, verificando a habilitação de várias configurações. Isso inclui o uso de criptografia de registros, validação de registros e habilitação da AWS CloudTrail em várias regiões. | |
| 7466 | Segurança na nuvem pública, proteção de dados na nuvem pública, acessibilidade de dados (23.4.10. C.01.) | Gerencie o acesso à Nuvem AWS garantindo que as instâncias de replicação do AWS Database Migration Service (DMS) não possam ser acessadas publicamente. As instâncias de replicação do DMS podem conter informações confidenciais, e o controle de acesso é necessário para essas contas. | |
| 7466 | Segurança na nuvem pública, proteção de dados na nuvem pública, acessibilidade de dados (23.4.10. C.01.) | Habilite o método serviço de metadados de instância versão 2 (IMDSv2) para ajudar a proteger o acesso e o controle dos metadados da instância do Amazon Elastic Compute Cloud (Amazon EC2). O método IMDSv2 usa controles baseados em sessão. Com o IMDSv2, os controles podem ser implementados para restringir alterações nos metadados da instância. | |
| 7466 | Segurança na nuvem pública, proteção de dados na nuvem pública, acessibilidade de dados (23.4.10. C.01.) | Gerencie o acesso à Nuvem AWS garantindo que as instâncias do Amazon Elastic Compute Cloud (Amazon EC2) não possam ser acessadas publicamente. As instâncias do Amazon EC2 podem conter informações confidenciais e o controle de acesso é necessário para essas contas. | |
| 7466 | Segurança na nuvem pública, proteção de dados na nuvem pública, acessibilidade de dados (23.4.10. C.01.) | Implante instâncias do Amazon Elastic Compute Cloud (Amazon EC2) em uma Amazon Virtual Private Cloud (Amazon VPC) para permitir a comunicação segura entre uma instância e outros serviços dentro da Amazon VPC, sem exigir um gateway de internet, dispositivo NAT ou conexão VPN. Todo o tráfego permanece com segurança na Nuvem AWS. Devido ao seu isolamento lógico, os domínios que residem no Amazon VPC contam com uma camada adicional de segurança se comparados aos domínios que utilizam endpoints públicos. Atribua instâncias do Amazon EC2 a um Amazon VPC para gerenciar adequadamente o acesso. | |
| 7466 | Segurança na nuvem pública, proteção de dados na nuvem pública, acessibilidade de dados (23.4.10. C.01.) | Esse controle verifica se os domínios do Elasticsearch estão em uma nuvem privada virtual (VPC). Ele não avalia a configuração de roteamento da sub-rede da VPC para determinar a acessibilidade pública. É necessário garantir que os domínios do Elasticsearch não estejam anexados a sub-redes públicas. Os domínios do Elasticsearch implantados em uma VPC podem se comunicar com recursos da VPC pela rede privada da AWS, sem a necessidade de atravessar a Internet pública. Essa configuração aumenta a postura de segurança ao limitar o acesso aos dados em trânsito. As VPCs fornecem vários controles de rede para proteger o acesso aos domínios do Elasticsearch, como ACL de rede e grupos de segurança. | |
| 7466 | Segurança na nuvem pública, proteção de dados na nuvem pública, acessibilidade de dados (23.4.10. C.01.) | Gerencie o acesso aos recursos na Nuvem AWS garantindo que as instâncias do Amazon Relational Database Service (Amazon RDS) não sejam públicas. As instâncias de banco de dados do Amazon RDS podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas. | |
| 7466 | Segurança na nuvem pública, proteção de dados na nuvem pública, acessibilidade de dados (23.4.10. C.01.) | Gerencie o acesso aos recursos na nuvem da AWS garantindo que os clusters do Amazon Redshift não sejam públicos. Os clusters do Amazon Redshift podem conter informações confidenciais e princípios, e o controle de acesso é necessário para essas contas. | |
| 7466 | Segurança na nuvem pública, proteção de dados na nuvem pública, acessibilidade de dados (23.4.10. C.01.) | Gerencie o acesso aos recursos na Nuvem AWS garantindo que os buckets do Amazon Simple Storage Service (Amazon S3) não possam ser acessados publicamente. Esta regra ajuda a manter os dados sensíveis protegidos de usuários remotos não autorizados, impedindo o acesso público. Essa regra define ignore PublicAcls como TRUE, block PublicPolicy como TRUE, block PublicAcls como TRUE e restringe PublicBuckets como TRUE. | |
| 7466 | Segurança na nuvem pública, proteção de dados na nuvem pública, acessibilidade de dados (23.4.10. C.01.) | Certifique-se de que os documentos do AWS Systems Manager (SSM) não sejam públicos, pois isso pode permitir acesso não intencional aos seus documentos de SSM. Um documento do SSM público pode expor informações sobre sua conta, recursos e processos internos. | |
| 7466 | Segurança na nuvem pública, proteção de dados na nuvem pública, acessibilidade de dados (23.4.10. C.01.) | Os grupos de segurança do Amazon Elastic Compute Cloud (Amazon EC2) podem ajudar no gerenciamento do acesso à rede fornecendo filtragem monitorada do tráfego de entrada e saída da rede para os recursos da AWS. Restringir todo o tráfego no grupo de segurança padrão ajuda a restringir o acesso remoto aos seus recursos da AWS. | |
| 7466 | Segurança na nuvem pública, proteção de dados na nuvem pública, acessibilidade de dados (23.4.10. C.01.) | Os registros de fluxo da nuvem privada virtual (VPC) fornecem registros detalhados de informações sobre o tráfego IP que entra e sai das interfaces de rede em sua Amazon VPC. Por padrão, o registro de log de fluxo inclui valores para os diferentes componentes do fluxo de IP, incluindo a origem, o destino e o protocolo. | |
| 7496 | Segurança na nuvem pública, registro e alertas na nuvem pública, requisitos de registro (23.5.11. C.01.) | Utilize a validação do arquivo de CloudTrail log da AWS para verificar a integridade dos CloudTrail registros. A validação do arquivo de log ajuda a determinar se um arquivo de log foi modificado, excluído ou inalterado após a CloudTrail entrega. Esse recurso foi criado usando algoritmos padrão do setor: SHA-256 para hashing e SHA-256 com RSA para assinatura digital. Isso torna computacionalmente inviável modificar, excluir ou CloudTrail falsificar arquivos de log sem detecção. | |
| 7496 | Segurança na nuvem pública, registro e alertas na nuvem pública, requisitos de registro (23.5.11. C.01.) | Esse controle verifica se o registro de acesso ao servidor está habilitado nas CloudFront distribuições. O controle falhará se o registro de acesso não estiver habilitado para uma distribuição. CloudFront os registros de acesso fornecem informações detalhadas sobre cada solicitação do usuário que CloudFront recebe. Cada registro em log contém informações como a data e a hora em que a solicitação foi recebida, o endereço IP do visualizador que fez a solicitação, a origem da solicitação e o número da porta da solicitação do visualizador. Esses logs são úteis para aplicações como auditorias de segurança e acesso e investigação forense. Essa regra deve ser aplicada na região leste dos EUA-1. | |
| 7496 | Segurança na nuvem pública, registro e alertas na nuvem pública, requisitos de registro (23.5.11. C.01.) | A AWS CloudTrail pode ajudar na não repúdio registrando ações do AWS Management Console e chamadas de API. Você pode identificar os usuários e as contas da AWS que ligaram para um serviço da AWS, o endereço IP de origem onde as chamadas foram geradas e os horários das chamadas. Os detalhes dos dados capturados são vistos no AWS CloudTrail Record Contents. | |
| 7496 | Segurança na nuvem pública, registro e alertas na nuvem pública, requisitos de registro (23.5.11. C.01.) | Para ajudar a proteger dados confidenciais em repouso, garanta que a criptografia esteja habilitada para seus grupos de CloudWatch registros da Amazon. | |
| 7496 | Segurança na nuvem pública, registro e alertas na nuvem pública, requisitos de registro (23.5.11. C.01.) | A atividade do Elastic Load Balancing é um ponto central de comunicação em um ambiente. Habilite o registro em log do ELB. Os dados coletados fornecem informações detalhadas sobre as solicitações enviadas ao ELB. Cada log contém informações como a hora em que a solicitação foi recebida, o endereço IP do cliente, latências, caminhos de solicitação e respostas do servidor. | |
| 7496 | Segurança na nuvem pública, registro e alertas na nuvem pública, requisitos de registro (23.5.11. C.01.) | Para ajudar no registro em log e no monitoramento em seu ambiente, habilite o registro em log do Amazon Relational Database Service (Amazon RDS). Com o registro em log do Amazon RDS, você pode capturar eventos como conexões, desconexões, consultas ou tabelas consultadas. | |
| 7545 | Controle de acesso e senhas, identificação, autenticação e autenticação, senhas e política (16.1.31. C.02.) | Alterações anuais de senha são necessárias em sistemas que não implementaram a autenticação multifator (MFA) ou a autenticação sem senha. Como esse pacote de conformidade contém a Regra de Configuração habilitada para iam-user-mfa, esse controle garante alterações de senha a cada três anos. | |
| 7546 | Controle de acesso e senhas, identificação, autenticação e autenticação, senhas e política (16.1.31. C.03.) | Garanta um tamanho mínimo de senha de 16 caracteres (por exemplo, quatro palavras). As senhas devem ser longas, fortes e exclusivas. Nenhum requisito explícito de complexidade é imposto (por exemplo, números ou caracteres especiais), no entanto, as senhas devem ser exclusivas ou aleatórias e podem incluir caracteres e números especiais para conseguir isso. |
Modelo
################################################################################## # # Conformance Pack: # Operational Best Practices for NZISM NZ Transition # # This conformance pack helps verify compliance with NZISM requirements. # ################################################################################## Resources: AcmCertificateExpirationCheck: Controls: [ '1667' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: acm-certificate-expiration-check InputParameters: daysToExpiration: '30' Scope: ComplianceResourceTypes: - AWS::ACM::Certificate Source: Owner: AWS SourceIdentifier: ACM_CERTIFICATE_EXPIRATION_CHECK Description: "SHOULD 14.5.8.C.01[CID:1667]| Software security/Web Application Development/Web applications" AlbHttpToHttpsRedirectionCheck: Controls: [ '1847', '2090' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: alb-http-to-https-redirection-check Source: Owner: AWS SourceIdentifier: ALB_HTTP_TO_HTTPS_REDIRECTION_CHECK Description: "MUST 16.1.37.C.01[CID:1847], MUST 17.1.55.C.02[CID:2090]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in t..." CloudTrailCloudWatchLogsEnabled: Controls: [ '1998', '6860' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloud-trail-cloud-watch-logs-enabled Source: Owner: AWS SourceIdentifier: CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED Description: "SHOULD 16.6.6.C.02[CID:1998], MUST 16.4.35.C.02[CID:6860]| Access Control and Passwords: (Event Logging and Auditing/Maintaining system management logs and Privileged..." CloudTrailEncryptionEnabled: Controls: [ '2082' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloud-trail-encryption-enabled Source: Owner: AWS SourceIdentifier: CLOUD_TRAIL_ENCRYPTION_ENABLED Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements" CloudTrailLogFileValidationEnabled: Controls: [ '2022', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloud-trail-log-file-validation-enabled Source: Owner: AWS SourceIdentifier: CLOUD_TRAIL_LOG_FILE_VALIDATION_ENABLED Description: "MUST 16.6.12.C.01[CID:2022], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Event log protection and Public Cloud Security/Loggi..." CloudfrontAccesslogsEnabled: Condition: IsEdge Controls: [ '2013', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudfront-accesslogs-enabled Source: Owner: AWS SourceIdentifier: CLOUDFRONT_ACCESSLOGS_ENABLED Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..." CloudfrontAssociatedWithWaf: Condition: IsEdge Controls: [ '3562' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudfront-associated-with-waf Source: Owner: AWS SourceIdentifier: CLOUDFRONT_ASSOCIATED_WITH_WAF Description: "MUST 19.1.12.C.01[CID:3562]| Gateway security/Gateways/Configuration of gateways" CloudfrontDefaultRootObjectConfigured: Condition: IsEdge Controls: [ '1661' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudfront-default-root-object-configured Source: Owner: AWS SourceIdentifier: CLOUDFRONT_DEFAULT_ROOT_OBJECT_CONFIGURED Description: "SHOULD 14.5.6.C.01[CID:1661]| Software security/Web Application Development/Agency website content" CloudfrontViewerPolicyHttps: Condition: IsEdge Controls: [ '1847' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudfront-viewer-policy-https Source: Owner: AWS SourceIdentifier: CLOUDFRONT_VIEWER_POLICY_HTTPS Description: "MUST 16.1.37.C.01[CID:1847]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in transit" CloudtrailEnabled: Controls: [ '1998', '2013', '6860', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudtrail-enabled Source: Owner: AWS SourceIdentifier: CLOUD_TRAIL_ENABLED Description: "SHOULD 16.6.6.C.02[CID:1998], SHOULD 16.6.10.C.02[CID:2013], MUST 16.4.35.C.02[CID:6860], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords: (Event Logging and..." CloudtrailS3DataeventsEnabled: Controls: [ '4838' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudtrail-s3-dataevents-enabled Source: Owner: AWS SourceIdentifier: CLOUDTRAIL_S3_DATAEVENTS_ENABLED Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access" CloudtrailSecurityTrailEnabled: Controls: [ '6861' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudtrail-security-trail-enabled Source: Owner: AWS SourceIdentifier: CLOUDTRAIL_SECURITY_TRAIL_ENABLED Description: "MUST 16.4.35.C.03[CID:6861]| Access Control and Passwords/Privileged Access Management/Monitoring and Review" CloudwatchLogGroupEncrypted: Controls: [ '2022', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudwatch-log-group-encrypted Source: Owner: AWS SourceIdentifier: CLOUDWATCH_LOG_GROUP_ENCRYPTED Description: "MUST 16.6.12.C.01[CID:2022], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Event log protection and Public Cloud Security/Loggi..." CmkBackingKeyRotationEnabled: Controls: [ '3021' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cmk-backing-key-rotation-enabled Source: Owner: AWS SourceIdentifier: CMK_BACKING_KEY_ROTATION_ENABLED Description: "SHOULD 17.9.25.C.01[CID:3021]| Cryptography/Key Management/Contents of KMPs" CwLoggroupRetentionPeriodCheck: Controls: [ '1998', '2028' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cw-loggroup-retention-period-check InputParameters: MinRetentionTime: '545' Source: Owner: AWS SourceIdentifier: CW_LOGGROUP_RETENTION_PERIOD_CHECK Description: "SHOULD 16.6.6.C.02[CID:1998], MUST 16.6.13.C.01[CID:2028]| Access Control and Passwords/Event Logging and Auditing: (Maintaining system management logs and Event log ..." DbInstanceBackupEnabled: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: db-instance-backup-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: DB_INSTANCE_BACKUP_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" DmsReplicationNotPublic: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: dms-replication-not-public Source: Owner: AWS SourceIdentifier: DMS_REPLICATION_NOT_PUBLIC Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." DynamodbAutoscalingEnabled: Controls: [ '4829' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: dynamodb-autoscaling-enabled Scope: ComplianceResourceTypes: - AWS::DynamoDB::Table Source: Owner: AWS SourceIdentifier: DYNAMODB_AUTOSCALING_ENABLED Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability" DynamodbPitrEnabled: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: dynamodb-pitr-enabled Scope: ComplianceResourceTypes: - AWS::DynamoDB::Table Source: Owner: AWS SourceIdentifier: DYNAMODB_PITR_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" DynamodbTableEncryptedKms: Controls: [ '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: dynamodb-table-encrypted-kms Scope: ComplianceResourceTypes: - AWS::DynamoDB::Table Source: Owner: AWS SourceIdentifier: DYNAMODB_TABLE_ENCRYPTED_KMS Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access" EbsSnapshotPublicRestorableCheck: Controls: [ '4838' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ebs-snapshot-public-restorable-check Source: Owner: AWS SourceIdentifier: EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access" Ec2EbsEncryptionByDefault: Controls: [ '2082' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ec2-ebs-encryption-by-default Source: Owner: AWS SourceIdentifier: EC2_EBS_ENCRYPTION_BY_DEFAULT Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements" Ec2Imdsv2Check: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ec2-imdsv2-check Scope: ComplianceResourceTypes: - AWS::EC2::Instance Source: Owner: AWS SourceIdentifier: EC2_IMDSV2_CHECK Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." Ec2InstanceNoPublicIp: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ec2-instance-no-public-ip Scope: ComplianceResourceTypes: - AWS::EC2::Instance Source: Owner: AWS SourceIdentifier: EC2_INSTANCE_NO_PUBLIC_IP Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." Ec2InstancesInVpc: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ec2-instances-in-vpc Scope: ComplianceResourceTypes: - AWS::EC2::Instance Source: Owner: AWS SourceIdentifier: INSTANCES_IN_VPC Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." EfsEncryptedCheck: Controls: [ '2082', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: efs-encrypted-check Source: Owner: AWS SourceIdentifier: EFS_ENCRYPTED_CHECK Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements and Enterpri..." ElasticacheRedisClusterAutomaticBackupCheck: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elasticache-redis-cluster-automatic-backup-check Source: Owner: AWS SourceIdentifier: ELASTICACHE_REDIS_CLUSTER_AUTOMATIC_BACKUP_CHECK Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" ElasticsearchEncryptedAtRest: Controls: [ '2082', '4441', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elasticsearch-encrypted-at-rest Source: Owner: AWS SourceIdentifier: ELASTICSEARCH_ENCRYPTED_AT_REST Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..." ElasticsearchInVpcOnly: Controls: [ '3562', '3623', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elasticsearch-in-vpc-only Source: Owner: AWS SourceIdentifier: ELASTICSEARCH_IN_VPC_ONLY Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..." ElasticsearchNodeToNodeEncryptionCheck: Controls: [ '1847', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elasticsearch-node-to-node-encryption-check Scope: ComplianceResourceTypes: - AWS::Elasticsearch::Domain Source: Owner: AWS SourceIdentifier: ELASTICSEARCH_NODE_TO_NODE_ENCRYPTION_CHECK Description: "MUST 16.1.37.C.01[CID:1847], SHOULD 22.1.24.C.04[CID:4839]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in..." ElbCrossZoneLoadBalancingEnabled: Controls: [ '4829' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elb-cross-zone-load-balancing-enabled Scope: ComplianceResourceTypes: - AWS::ElasticLoadBalancing::LoadBalancer Source: Owner: AWS SourceIdentifier: ELB_CROSS_ZONE_LOAD_BALANCING_ENABLED Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability" ElbCustomSecurityPolicySslCheck: Controls: [ '2598', '2600' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elb-custom-security-policy-ssl-check InputParameters: sslProtocolsAndCiphers: 'Protocol-TLSv1.2,ECDHE-ECDSA-AES256-GCM-SHA384' Scope: ComplianceResourceTypes: - AWS::ElasticLoadBalancing::LoadBalancer Source: Owner: AWS SourceIdentifier: ELB_CUSTOM_SECURITY_POLICY_SSL_CHECK Description: "SHOULD 17.4.16.C.01[CID:2598], SHOULD NOT 17.4.16.C.02[CID:2600]| Cryptography/Transport Layer Security/Using TLS" ElbLoggingEnabled: Controls: [ '2013', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elb-logging-enabled Scope: ComplianceResourceTypes: - AWS::ElasticLoadBalancing::LoadBalancer - AWS::ElasticLoadBalancingV2::LoadBalancer Source: Owner: AWS SourceIdentifier: ELB_LOGGING_ENABLED Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..." ElbTlsHttpsListenersOnly: Controls: [ '1667', '1847', '2090', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elb-tls-https-listeners-only Scope: ComplianceResourceTypes: - AWS::ElasticLoadBalancing::LoadBalancer Source: Owner: AWS SourceIdentifier: ELB_TLS_HTTPS_LISTENERS_ONLY Description: "SHOULD 14.5.8.C.01[CID:1667], MUST 16.1.37.C.01[CID:1847], MUST 17.1.55.C.02[CID:2090], SHOULD 22.1.24.C.04[CID:4839]| Software security/Web Application Development/We..." EncryptedVolumes: Controls: [ '2082', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: encrypted-volumes Scope: ComplianceResourceTypes: - AWS::EC2::Volume Source: Owner: AWS SourceIdentifier: ENCRYPTED_VOLUMES Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements and Enterpri..." IamPasswordPolicy: Controls: [ '7545', '7546' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: iam-password-policy InputParameters: MaxPasswordAge: '1095' MinimumPasswordLength: '16' PasswordReusePrevention: '24' RequireUppercaseCharacters: 'false' RequireLowercaseCharacters: 'false' RequireSymbols: 'false' RequireNumbers: 'false' Source: Owner: AWS SourceIdentifier: IAM_PASSWORD_POLICY Description: "MUST 16.1.31.C.02[CID:7545], MUST 16.1.31.C.03[CID:7546]| Access Control and Passwords/Identification, Authentication and Authentication/Passwords and policy" RdsAutomaticMinorVersionUpgradeEnabled: Controls: [ '3452' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-automatic-minor-version-upgrade-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_AUTOMATIC_MINOR_VERSION_UPGRADE_ENABLED Description: "SHOULD 12.4.4.C.05[CID:3452]| Product Security/Product Patching and Updating/Patching vulnerabilities in products" RdsClusterDeletionProtectionEnabled: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-cluster-deletion-protection-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBCluster Source: Owner: AWS SourceIdentifier: RDS_CLUSTER_DELETION_PROTECTION_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" RdsInstanceDeletionProtectionEnabled: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-instance-deletion-protection-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_INSTANCE_DELETION_PROTECTION_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" RdsInstancePublicAccessCheck: Controls: [ '3562', '3623', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-instance-public-access-check Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_INSTANCE_PUBLIC_ACCESS_CHECK Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..." RdsLoggingEnabled: Controls: [ '2013', '4441', '4445', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-logging-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_LOGGING_ENABLED Description: "SHOULD 16.6.10.C.02[CID:2013], SHOULD 20.4.4.C.02[CID:4441], SHOULD 20.4.5.C.02[CID:4445], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and ..." RdsSnapshotEncrypted: Controls: [ '2082', '4441', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-snapshot-encrypted Scope: ComplianceResourceTypes: - AWS::RDS::DBSnapshot - AWS::RDS::DBClusterSnapshot Source: Owner: AWS SourceIdentifier: RDS_SNAPSHOT_ENCRYPTED Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..." RdsSnapshotsPublicProhibited: Controls: [ '4441' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-snapshots-public-prohibited Scope: ComplianceResourceTypes: - AWS::RDS::DBSnapshot - AWS::RDS::DBClusterSnapshot Source: Owner: AWS SourceIdentifier: RDS_SNAPSHOTS_PUBLIC_PROHIBITED Description: "SHOULD 20.4.4.C.02[CID:4441]| Data management/Databases/Database files" RdsStorageEncrypted: Controls: [ '2082', '4441', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-storage-encrypted Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_STORAGE_ENCRYPTED Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..." RedshiftBackupEnabled: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: redshift-backup-enabled Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_BACKUP_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" RedshiftClusterConfigurationCheck: Controls: [ '4441', '4445', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: redshift-cluster-configuration-check InputParameters: clusterDbEncrypted: 'true' loggingEnabled: 'true' Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_CLUSTER_CONFIGURATION_CHECK Description: "SHOULD 20.4.4.C.02[CID:4441], SHOULD 20.4.5.C.02[CID:4445], SHOULD 22.1.24.C.04[CID:4839]| Data management/Databases: (Database files and Accountability) and Enterpr..." RedshiftClusterMaintenancesettingsCheck: Controls: [ '3449', '3453' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: redshift-cluster-maintenancesettings-check InputParameters: allowVersionUpgrade: 'true' Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_CLUSTER_MAINTENANCESETTINGS_CHECK Description: "MUST 12.4.4.C.02[CID:3449], SHOULD 12.4.4.C.06[CID:3453]| Product Security/Product Patching and Updating/Patching vulnerabilities in products" RedshiftClusterPublicAccessCheck: Controls: [ '3562', '3623', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: redshift-cluster-public-access-check Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..." RedshiftRequireTlsSsl: Controls: [ '2090', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: redshift-require-tls-ssl Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_REQUIRE_TLS_SSL Description: "MUST 17.1.55.C.02[CID:2090], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Information and Systems Protection and Enterprise systems security..." RestrictedSsh: Controls: [ '2726' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: restricted-ssh Scope: ComplianceResourceTypes: - AWS::EC2::SecurityGroup Source: Owner: AWS SourceIdentifier: INCOMING_SSH_DISABLED Description: "SHOULD 17.5.8.C.02[CID:2726]| Cryptography/Secure Shell/Automated remote access" S3AccountLevelPublicAccessBlocksPeriodic: Controls: [ '3562', '4838', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-account-level-public-access-blocks-periodic Source: Owner: AWS SourceIdentifier: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS_PERIODIC Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 22.1.24.C.03[CID:4838], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Enterprise systems se..." S3BucketPublicReadProhibited: Controls: [ '4838' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-bucket-public-read-prohibited Scope: ComplianceResourceTypes: - AWS::S3::Bucket Source: Owner: AWS SourceIdentifier: S3_BUCKET_PUBLIC_READ_PROHIBITED Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access" S3BucketPublicWriteProhibited: Controls: [ '4838' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-bucket-public-write-prohibited Scope: ComplianceResourceTypes: - AWS::S3::Bucket Source: Owner: AWS SourceIdentifier: S3_BUCKET_PUBLIC_WRITE_PROHIBITED Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access" S3BucketServerSideEncryptionEnabled: Controls: [ '2082' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-bucket-server-side-encryption-enabled Scope: ComplianceResourceTypes: - AWS::S3::Bucket Source: Owner: AWS SourceIdentifier: S3_BUCKET_SERVER_SIDE_ENCRYPTION_ENABLED Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements" S3BucketSslRequestsOnly: Controls: [ '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-bucket-ssl-requests-only Scope: ComplianceResourceTypes: - AWS::S3::Bucket Source: Owner: AWS SourceIdentifier: S3_BUCKET_SSL_REQUESTS_ONLY Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access" SecretsmanagerUsingCmk: Controls: [ '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: secretsmanager-using-cmk Scope: ComplianceResourceTypes: - AWS::SecretsManager::Secret Source: Owner: AWS SourceIdentifier: SECRETSMANAGER_USING_CMK Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access" SecurityhubEnabled: Controls: [ '3875' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: securityhub-enabled Source: Owner: AWS SourceIdentifier: SECURITYHUB_ENABLED Description: "SHOULD 18.4.12.C.01[CID:3875]| Network security/Intrusion Detection and Prevention/Event management and correlation" SsmDocumentNotPublic: Controls: [ '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ssm-document-not-public Source: Owner: AWS SourceIdentifier: SSM_DOCUMENT_NOT_PUBLIC Description: "MUST 23.4.10.C.01[CID:7466]| Public Cloud Security/Data Protection in Public Cloud/Data accessibility" VpcDefaultSecurityGroupClosed: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: vpc-default-security-group-closed Scope: ComplianceResourceTypes: - AWS::EC2::SecurityGroup Source: Owner: AWS SourceIdentifier: VPC_DEFAULT_SECURITY_GROUP_CLOSED Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." VpcFlowLogsEnabled: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: vpc-flow-logs-enabled Source: Owner: AWS SourceIdentifier: VPC_FLOW_LOGS_ENABLED Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." VpcSgOpenOnlyToAuthorizedPorts: Controls: [ '3205' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: vpc-sg-open-only-to-authorized-ports InputParameters: authorizedTcpPorts: '443' Scope: ComplianceResourceTypes: - AWS::EC2::SecurityGroup Source: Owner: AWS SourceIdentifier: VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS Description: "SHOULD 18.1.13.C.02[CID:3205]| Network security/Network Management/Limiting network access"
