本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
NZISM 3.9 的操作最佳實務 (基礎)
一致性套件提供一般用途的合規架構,可讓您使用受管或自訂 AWS Config 規則和 AWS Config 修補動作來建立安全、操作或成本最佳化控管檢查。一致性套件 (作為範例範本) 並不是為了完全確保符合特定控管或合規標準而設計。您有責任自行評估服務的使用情形是否符合適用的法律和法規要求。
以下提供紐西蘭政府通訊安全局 (GCSB) 資訊安全手冊 (NZISM) 2025-11 3.9 版
此一致性套件範本範例包含 NZISM 架構控制的映射,該架構是保護安全要求 (PSR) 架構不可或缺的一部分,其中闡述了紐西蘭政府對人員、資訊和實體安全管理的期望。
此一致性套件的基礎部分可以部署到雪梨和全球區域。NZ 轉換部分包含紐西蘭區域目前可用的 Foundation Config 規則子集。Foundation 組件目前不會部署到紐西蘭區域。此一致性套件的延伸部分可以部署到雪梨和紐西蘭區域,以增強 Foundation 和 NZ Transition 部分中提供的 Config 規則。
NZISM 依據 Creative Commons 姓名標示 4.0 紐西蘭授權條款獲得授權,這些授權條款可從 https://creativecommons.org/licenses/by/4.0/
| 控制 ID | 控制描述 | AWS Config 規則 | 指引 |
|---|---|---|---|
| 1149 | 軟體安全性、標準操作環境、開發強化 SOEs (14.1.8.C.01)。 | 透過使用 AWS Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,可以清查組織內的軟體平台和應用程式。使用 AWS Systems Manager 提供詳細的系統組態、作業系統修補程式層級、服務名稱和類型、軟體安裝、應用程式名稱、發佈者和版本,以及有關您環境的其他詳細資訊。 | |
| 1149 | 軟體安全性、標準操作環境、開發強化 SOEs (14.1.8.C.01)。 | 使用 AWS Systems Manager Associations 協助清查組織內的軟體平台和應用程式。AWS Systems Manager 會將組態狀態指派給受管執行個體,並可讓您設定作業系統修補程式層級、軟體安裝、應用程式組態的基準,以及環境的其他詳細資訊。 | |
| 1149 | 軟體安全性、標準操作環境、開發強化 SOEs (14.1.8.C.01)。 | 此控制項會檢查 Amazon ECS 任務定義之容器定義中的特權參數是否設為 true。如果此參數等於 true,則控制項會失敗。此控制項只會評估 Amazon ECS 任務定義的最新作用中修訂。我們建議您從 ECS 任務定義中移除提升的權限。當權限參數為 true 時,容器會在主機容器執行個體上獲得更高的權限 (類似於根使用者)。 | |
| 1149 | 軟體安全性、標準操作環境、開發強化 SOEs (14.1.8.C.01)。 | 此控制項會檢查 Amazon ECS 容器是否僅限於對掛載根檔案系統的唯讀存取。如果 Amazon ECS 任務定義的容器定義中的 ReadonlyRootFilesystem 參數設定為 false,則此控制項會失敗。此控制項只會評估 Amazon ECS 任務定義的最新作用中修訂。啟用此選項可減少安全性攻擊向量,因為容器執行個體的檔案系統無法遭到竄改或寫入,除非其檔案系統資料夾和目錄具有明確的讀寫許可。此控制項也遵循最低權限原則。 | |
| 1154 | 資訊安全事件、偵測資訊安全事件、防止和偵測資訊安全事件 (7.1.7.C.02.) | 此控制項會檢查您的帳戶或組織中是否針對 Amazon GuardDuty 啟用執行期監控。執行期監控會觀察和分析作業系統層級、聯網和檔案事件,以協助您偵測環境中特定 AWS 工作負載的潛在威脅。 | |
| 1661 | 軟體安全、Web 應用程式開發、代理網站內容 (14.5.6.C.01)。 | 此控制項會檢查 Amazon CloudFront 分佈是否設定為傳回特定物件,也就是預設根物件。如果 CloudFront 分佈未設定預設根物件,則此控制會失敗。使用者有時可能會請求分佈的根 URL,而不是分佈中的物件。發生這種情況時,指定預設根物件可協助避免暴露 Web 分佈的內容。您必須在 us-east-1 區域中套用此規則。使用範本參數部署 DeployEdgeRules = true。 | |
| 1667 | 軟體安全性、Web 應用程式開發、Web 應用程式 (14.5.8.C.01)。 | 確保 AWS ACM 發行 X509 憑證,以確保網路完整性受到保護。這些憑證必須有效且未過期。此規則需要 daysToExpiration 的值。值為 90 天。 | |
| 1667 | 軟體安全性、Web 應用程式開發、Web 應用程式 (14.5.8.C.01)。 | 確保 Elastic Load Balancer (ELB) 已設定使用 SSL 或 HTTPS 接聽程式。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| 1841 | 存取控制和密碼、識別、身分驗證和密碼、系統使用者識別和身分驗證的方法 (16.1.35.C.02)。 | 啟用此規則以限制對 AWS 雲端中資源的存取。此規則可確保為所有 IAM 使用者都啟用了多重要素驗證 (MFA)。MFA 在使用者名稱和密碼之外,多增加一層保護。透過為 IAM 使用者要求 MFA 來減少帳戶遭到入侵的事件。 | |
| 1841 | 存取控制和密碼、識別、身分驗證和密碼、系統使用者識別和身分驗證的方法 (16.1.35.C.02)。 | 確保所有具有主控台密碼的 AWS Identity and Access Management (IAM) 使用者都已啟用多重要素驗證 (MFA),以管理對 AWS 雲端中資源的存取。MFA 在使用者名稱和密碼之外,多增加一層保護。透過為 IAM 使用者要求 MFA,您可以減少帳戶遭到入侵的事件,並防止未經授權的使用者存取敏感資料。 | |
| 1841 | 存取控制和密碼、識別、身分驗證和密碼、系統使用者識別和身分驗證的方法 (16.1.35.C.02)。 | 確保為根使用者啟用硬體多重要素驗證 (MFA),以管理對 AWS 雲端中資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為使用者名稱和密碼多增加一層保護。透過要求根使用者的 MFA,您可以減少 AWS 帳戶遭到入侵的事件。 | |
| 1841 | 存取控制和密碼、識別、身分驗證和密碼、系統使用者識別和身分驗證的方法 (16.1.35.C.02)。 | 確保已啟用根使用者的多重要素驗證 (MFA),以管理對 AWS 雲端中資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為使用者名稱和密碼多增加一層保護。透過要求根使用者的 MFA,您可以減少 AWS 帳戶遭到入侵的事件。 | |
| 1847 | 存取控制和密碼、識別、身分驗證和密碼、保護傳輸中的身分驗證資料 (16.1.37.C.01)。 | 為了協助保護傳輸中的資料,請確保 Application Load Balancer 會自動將未加密的 HTTP 請求重新導向至 HTTPS。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| 1847 | 存取控制和密碼、識別、身分驗證和密碼、保護傳輸中的身分驗證資料 (16.1.37.C.01)。 | 此控制可檢查 Amazon CloudFront 分佈是否要求檢視者直接使用 HTTPS,或其是否使用重新導向。如果將 defaultCacheBehavior 或 cacheBehaviors 的 ViewerProtocolPolicy 設定為 allow-all,則此控制會失敗。HTTPS (TLS) 可用來防止潛在攻擊者使用中間人攻擊或類似的攻擊手法來竊聽或操控網路流量。只能允許透過 HTTPS (TLS) 進行加密連線。您必須在 us-east-1 區域中套用此規則。使用範本參數部署 DeployEdgeRules = true。 | |
| 1847 | 存取控制和密碼、識別、身分驗證和密碼、保護傳輸中的身分驗證資料 (16.1.37.C.01)。 | 此控制項會檢查 Elasticsearch 網域是否已啟用node-to-node加密。如果在網域上停用node-to-node加密,此控制會失敗。HTTPS (TLS) 可用來協助防止潛在攻擊者使用person-in-the-middle或類似攻擊來竊聽或操控網路流量。只能允許透過 HTTPS (TLS) 進行加密連線。啟用 Elasticsearch 網域的node-to-node加密,可確保叢集內通訊在傳輸中加密。 | |
| 1847 | 存取控制和密碼、識別、身分驗證和密碼、保護傳輸中的身分驗證資料 (16.1.37.C.01)。 | 確保 Elastic Load Balancer (ELB) 已設定使用 SSL 或 HTTPS 接聽程式。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| 1847 | 存取控制和密碼、識別、身分驗證和密碼、保護傳輸中的身分驗證資料 (16.1.37.C.01)。 | 此控制項會檢查 OpenSearch 網域是否已啟用node-to-node加密。如果在網域上停用node-to-node加密,此控制會失敗。HTTPS (TLS) 可用來協助防止潛在攻擊者使用person-in-the-middle或類似攻擊來竊聽或操控網路流量。只能允許透過 HTTPS (TLS) 進行加密連線。啟用 OpenSearch 網域的node-to-node加密,可確保叢集內通訊在傳輸中加密。 | |
| 1893 | 存取控制和密碼、識別、身分驗證和密碼、暫停存取 (16.1.46.C.02)。 | AWS Identity and Access Management (IAM) 可以透過檢查未在指定期間內使用的 IAM 密碼和存取金鑰,協助您取得存取許可和授權。如果識別出這些未使用的憑證,建議您停用和/或移除憑證,因為這可能會違反最低權限的原則。此規則會將 maxCredentialUsageAge 設定為 30 天。 | |
| 1946 | 存取控制和密碼、特殊權限使用者存取、特殊權限帳戶的使用 (16.3.5.C.02)。 | AWS Identity and Access Management (IAM) 可協助您將最低權限和職責分離原則與存取許可和授權整合,限制政策包含「效果」:「允許」與「動作」:「*」與「資源」:「*」。允許使用者擁有超過完成任務所需的權限,可能會違反最低權限和職責分離的原則。 | |
| 1946 | 存取控制和密碼、特殊權限使用者存取、特殊權限帳戶的使用 (16.3.5.C.02)。 | 檢查根使用者是否沒有連接到其 AWS Identity and Access Management (IAM) 角色的存取金鑰,即可控制系統和資產的存取。請確保已刪除根存取金鑰。反之,請建立和使用角色型 AWS 帳戶,以協助整合功能最少的原則。 | |
| 1998 | 存取控制和密碼、事件記錄和稽核、維護系統管理日誌 (16.6.6.C.02.) | 您應該使用 CloudWatch Logs 設定 CloudTrail 來監控您的追蹤日誌,並在發生特定活動時收到通知。此規則會檢查 AWS CloudTrail 追蹤是否設定為將日誌傳送至 Amazon CloudWatch logs。 | |
| 1998 | 存取控制和密碼、事件記錄和稽核、維護系統管理日誌 (16.6.6.C.02.) | AWS CloudTrail 可以透過記錄 AWS 管理主控台動作和 API 呼叫來協助進行不可否認。您可以識別呼叫 AWS 服務的使用者和 AWS 帳戶、呼叫產生的來源 IP 地址,以及呼叫的時間。擷取資料的詳細資訊會顯示在 AWS CloudTrail 記錄內容中。 | |
| 1998 | 存取控制和密碼、事件記錄和稽核、維護系統管理日誌 (16.6.6.C.02)。 | 確保為日誌群組保留最短的事件日誌資料持續時間,以利故障診斷和鑑識調查。如果缺少可用的過去事件日誌資料,就很難重建和識別潛在的惡意事件。最短保留期為 18 個月。 | |
| 2013 | 存取控制和密碼、事件記錄和稽核、要記錄的其他事件 (16.6.10.C.02)。 | API Gateway 日誌記錄會顯示存取 API 的使用者及其存取 API 方式的詳細檢視。此洞察功能可讓您掌握使用者活動。 | |
| 2013 | 存取控制和密碼、事件記錄和稽核、要記錄的其他事件 (16.6.10.C.02)。 | 此控制可檢查是否已在 CloudFront 分佈上啟用伺服器存取日誌記錄。如果未針對分佈啟用存取日誌記錄,則此控制會失敗。CloudFront 存取日誌可提供 CloudFront 所收到的每個使用者請求的詳細資訊。每個日誌都包含收到請求的日期和時間、提出請求的檢視者 IP 地址、請求的來源,以及檢視者提出請求的連接埠號碼等資訊。這些日誌適用於安全與存取稽核及鑑識調查等應用程式。您必須在 us-east-1 區域中套用此規則。使用範本參數部署 DeployEdgeRules = true | |
| 2013 | 存取控制和密碼、事件記錄和稽核、要記錄的其他事件 (16.6.10.C.02)。 | AWS CloudTrail 可以透過記錄 AWS 管理主控台動作和 API 呼叫來協助進行不可否認。您可以識別呼叫 AWS 服務的使用者和 AWS 帳戶、呼叫產生的來源 IP 地址,以及呼叫的時間。擷取資料的詳細資訊會顯示在 AWS CloudTrail 記錄內容中。 | |
| 2013 | 存取控制和密碼、事件記錄和稽核、要記錄的其他事件 (16.6.10.C.02)。 | Elastic Load Balancing 活動是環境內的通訊中心點。請確保已啟用 ELB 日誌記錄。收集的資料可提供有關傳送至 ELB 之請求的詳細資訊。每個日誌包含收到請求的時間、用戶端的 IP 地址、延遲、請求路徑和伺服器回應等資訊。 | |
| 2013 | 存取控制和密碼、事件記錄和稽核、要記錄的其他事件 (16.6.10.C.02)。 | 為了協助在您的環境中記錄和監控,請確保已啟用 Amazon Relational Database Service (RDS) 記錄。憑藉 Amazon RDS 日誌記錄,您可以擷取連線、中斷連線、查詢或查詢的資料表等事件。 | |
| 2013 | 存取控制和密碼、事件記錄和稽核、要記錄的其他事件 (16.6.10.C.02)。 | 為了協助您在環境中記錄和監控,請在區域和全域 Web ACL 上啟用 AWS WAF (V2) 記錄。 ACLs AWS WAF 記錄提供有關 Web ACL 分析流量的詳細資訊。日誌會記錄 AWS WAF 從 AWS 資源收到請求的時間、請求的相關資訊,以及每個請求相符規則的動作。 | |
| 2022 | 存取控制和密碼、事件記錄和稽核、事件日誌保護 (16.6.12.C.01)。 | 使用 AWS CloudTrail 日誌檔案驗證來檢查 CloudTrail 日誌的完整性。在 CloudTrail 交付日誌檔後,日誌檔驗證可協助您確定此檔案是否遭到修改、刪除或未經變更。此功能以產業標準演算法建置:SHA-256 適用於進行雜湊,而含 RSA 的 SHA-256 適用於進行數位簽署。這可透過運算方式防止修改、刪除或偽造 CloudTrail 日誌檔案,而無需偵測。 | |
| 2022 | 存取控制和密碼、事件記錄和稽核、事件日誌保護 (16.6.12.C.01)。 | 為了協助保護靜態敏感資料,請確保已針對 Amazon CloudWatch 日誌群組啟用加密功能。 | |
| 2028 | 存取控制和密碼、事件記錄和稽核、事件日誌封存 (16.6.13.C.01)。 | 確保為日誌群組保留最短的事件日誌資料持續時間,以利故障診斷和鑑識調查。如果缺少可用的過去事件日誌資料,就很難重建和識別潛在的惡意事件。最短保留期為 18 個月。 | |
| 2082 | 密碼編譯、密碼編譯基礎、降低儲存和實體傳輸需求 (17.1.53.C.04)。 | 由於可能存在敏感資料,且為了協助保護靜態資料,請確保已為您的 AWS CloudTrail 追蹤啟用加密。 | |
| 2082 | 密碼編譯、密碼編譯基礎、降低儲存和實體傳輸需求 (17.1.53.C.04)。 | 為了協助保護靜態資料,請確定已為您的 Amazon Elastic Block Store (EBS) 磁碟區啟用加密。由於這些磁碟區中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| 2082 | 密碼編譯、密碼編譯基礎、降低儲存和實體傳輸需求 (17.1.53.C.04)。 | 由於可能存在敏感資料,因此為了保護靜態資料,請確保已針對 Amazon Elastic File System (EFS) 啟用加密功能。 | |
| 2082 | 密碼編譯、密碼編譯基礎、降低儲存和實體傳輸需求 (17.1.53.C.04)。 | 此控制項會檢查 Elasticsearch 網域是否已啟用encryption-at-rest組態。如果未啟用靜態加密,則檢查會失敗。為了為敏感資料增加一層安全性,您應該將 Elasticsearch Service 網域設定為靜態加密。當您設定靜態資料的加密時,Amazon Key Management Service (KMS) 會存放和管理加密金鑰。為了執行加密,AWS KMS 使用進階加密標準演算法搭配 256 位元金鑰 (AES-256)。 | |
| 2082 | 密碼編譯、密碼編譯基礎、降低儲存和實體傳輸需求 (17.1.53.C.04)。 | 由於可以存在敏感資料,並且為了協助保護靜態資料,請確保已為您的 Amazon Elastic Block Store (EBS) 磁碟區啟用加密。 | |
| 2082 | 密碼編譯、密碼編譯基礎、降低儲存和實體傳輸需求 (17.1.53.C.04)。 | 此控制項會檢查 OpenSearch 網域是否已啟用encryption-at-rest組態。如果未啟用靜態加密,則檢查會失敗。為了為敏感資料增加一層安全性,您應該將 OpenSearch Service 網域設定為靜態加密。當您設定靜態資料的加密時,Amazon Key Management Service (KMS) 會存放和管理加密金鑰。為了執行加密,AWS KMS 使用進階加密標準演算法搭配 256 位元金鑰 (AES-256)。 | |
| 2082 | 密碼編譯、密碼編譯基礎、降低儲存和實體傳輸需求 (17.1.53.C.04)。 | 確保您的 Amazon Relational Database Service (RDS) 快照已啟用加密。由於可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| 2082 | 密碼編譯、密碼編譯基礎、降低儲存和實體傳輸需求 (17.1.53.C.04)。 | 為了協助保護靜態資料,請確定已為您的 Amazon Relational Database Service (RDS) 執行個體啟用加密。由於 Amazon RDS 執行個體中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| 2082 | 密碼編譯、密碼編譯基礎、降低儲存和實體傳輸需求 (17.1.53.C.04)。 | 為了協助保護靜態資料,請確保已針對 Amazon Simple Storage Service (Amazon S3) 儲存貯體啟用加密功能。由於 Amazon S3 儲存貯體中可能存在靜態敏感資料,因此請啟用加密以協助保護該資料。 | |
| 2090 | 密碼編譯、密碼編譯基礎、資訊和系統保護 (17.1.55.C.02)。 | 為了協助保護傳輸中的資料,請確保 Application Load Balancer 會自動將未加密的 HTTP 請求重新導向至 HTTPS。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| 2090 | 密碼編譯、密碼編譯基礎、資訊和系統保護 (17.1.55.C.02)。 | 確保 Elastic Load Balancer (ELB) 已設定使用 SSL 或 HTTPS 接聽程式。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| 2090 | 密碼編譯、密碼編譯基礎、資訊和系統保護 (17.1.55.C.02)。 | 確保 Amazon Redshift 叢集需要 TLS/SSL 加密才能連線到 SQL 用戶端。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| 2598 | 密碼編譯、Transport Layer Security、使用 TLS (17.4.16.C.01)。 | 為協助保護傳輸中的資料,請確定您的 Classic ElasticLoadBalancer SSL 接聽程式使用自訂的安全政策。這些政策可提供各種高強度的密碼編譯演算法,以協助確保系統之間的加密網路通訊。此規則需要您設定自訂的 SSL 接聽程式安全政策。安全政策為:Protocol-TLSv1.2,ECDHE-ECDSA-AES128-GCM-SHA256. | |
| 2600 | 密碼編譯、Transport Layer Security、使用 TLS (17.4.16.C.02)。 | 為協助保護傳輸中的資料,請確定您的 Classic ElasticLoadBalancer SSL 接聽程式使用自訂的安全政策。這些政策可提供各種高強度的密碼編譯演算法,以協助確保系統之間的加密網路通訊。此規則需要您設定自訂的 SSL 接聽程式安全政策。預設的安全政策為:Protocol-TLSv1.2、ECDHE-ECDSA-AES128-GCM-SHA256。 | |
| 2726 | 密碼編譯、Secure Shell、自動遠端存取 (17.5.8.C.02)。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可透過向 AWS 資源提供輸入和輸出網路流量的狀態篩選,協助管理網路存取。不允許資源從 0.0.0.0/0 到連接埠 22 的輸入 (或遠端) 流量,有助於限制遠端存取。 | |
| 3021 | 密碼編譯、金鑰管理、KMPs(17.9.25.C.01)。 | Amazon Key Management Service (KMS) 可讓客戶輪換備份金鑰,這是存放在 AWS KMS 中的金鑰材料,並繫結至客戶受管金鑰 (CMK) 的金鑰 ID。它是用來執行加密操作的備份金鑰,例如加密和解密。自動化輪換金鑰目前會保留之前所有的備份金鑰,以便透明解密加密的資料。輪換加密金鑰有助於降低被盜用金鑰造成的可能影響,因為可能公開的舊金鑰無法存取使用新金鑰加密的資料。 | |
| 3205 | 網路安全、網路管理、限制網路存取 (18.1.13.C.02)。 | 透過確保 Amazon Elastic Compute Cloud (Amazon EC2) 安全群組上的常見連接埠受到限制,來管理對 AWS 雲端中資源的存取。如果不將連接埠的存取限制為信任來源,可能會導致系統的可用性、完整性和機密性遭到攻擊。透過限制從網際網路 (0.0.0.0/0) 存取安全群組內的資源,可以控制內部系統的遠端存取。授權的網際網路連接埠清單為:僅限 443 | |
| 3449 | 產品安全、產品修補和更新、修補產品中的漏洞 (12.4.4.C.02)。 | 啟用規則以協助識別和記錄 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。此規則會根據組織的政策和程序,檢查 AWS Systems Manager 中的 Amazon EC2 執行個體修補程式合規性。 | |
| 3449 | 產品安全、產品修補和更新、修補產品中的漏洞 (12.4.4.C.02)。 | 此控制項會檢查私有 Amazon Elastic Container Registry (ECR) 儲存庫是否已設定映像掃描。如果私有 ECR 儲存庫未設定映像掃描,則此控制項會失敗。請注意,您也必須為每個儲存庫設定推送時掃描,才能傳遞此控制項。ECR 映像掃描有助於識別容器映像中的軟體漏洞。ECR 使用開放原始碼 Clair 專案中的 Common Vulnerabilities and Exposures (CVEs) 資料庫,並提供掃描調查結果清單。在 ECR 儲存庫上啟用映像掃描功能,可為儲存映像的完整性和安全性新增一層驗證。 | |
| 3449 | 產品安全、產品修補和更新、修補產品中的漏洞 (12.4.4.C.02)。 | 此規則可確保 Amazon Redshift 叢集使用貴組織的偏好設定。具體而言,即具有資料庫偏好的維護時段和自動快照保留期。此規則會將 allowVersionUpgrade 設定為 true。 | |
| 3451 | 產品安全、產品修補和更新、修補產品中的漏洞 (12.4.4.C.04)。 | 啟用規則以協助識別和記錄 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。此規則會根據組織的政策和程序,檢查 AWS Systems Manager 中的 Amazon EC2 執行個體修補程式合規性。 | |
| 3452 | 產品安全、產品修補和更新、修補產品中的漏洞 (12.4.4.C.05)。 | 啟用規則以協助識別和記錄 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。此規則會根據組織的政策和程序,檢查 AWS Systems Manager 中的 Amazon EC2 執行個體修補程式合規性。 | |
| 3452 | 產品安全、產品修補和更新、修補產品中的漏洞 (12.4.4.C.05)。 | 此控制項會檢查是否已針對 Elastic Beanstalk 環境啟用受管平台更新。啟用受管平台更新可確保已安裝環境的最新可用平台修正、更新和功能。隨時掌握修補程式安裝的最新資訊,是保護系統安全的重要步驟。 | |
| 3452 | 產品安全、產品修補和更新、修補產品中的漏洞 (12.4.4.C.05)。 | 此控制項會檢查是否已為 Amazon Relational Database Service (RDS) 資料庫執行個體啟用自動次要版本升級。啟用自動次要版本升級可確保已安裝關聯式資料庫管理系統 (RDBMS) 的最新次要版本更新。這些升級可能包括安全性修補程式和錯誤修正。隨時掌握修補程式安裝的最新資訊,是保護系統安全的重要步驟。 | |
| 3453 | 產品安全、產品修補和更新、修補產品中的漏洞 (12.4.4.C.06)。 | 啟用規則以協助識別和記錄 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。此規則會根據組織的政策和程序,檢查 AWS Systems Manager 中的 Amazon EC2 執行個體修補程式合規性。 | |
| 3453 | 產品安全、產品修補和更新、修補產品中的漏洞 (12.4.4.C.06)。 | 此規則可確保 Amazon Redshift 叢集使用貴組織的偏好設定。具體而言,即具有資料庫偏好的維護時段和自動快照保留期。此規則會將 allowVersionUpgrade 設定為 true。 | |
| 3562 | 閘道安全性、閘道、閘道組態 (19.1.12.C.01)。 | 此控制項會檢查 CloudFront 分佈是否與 AWS WAF 或 AWS WAFv2 Web ACLs相關聯。如果分佈未與 Web ACL 相關聯,則控制項會失敗。AWS WAF 是一個 Web 應用程式防火牆,有助於保護 Web 應用程式和 API 不受攻擊,其可讓您設定一組稱為 Web 存取控制清單 (Web ACL) 的規則,該組規則可根據您定義的可自訂 Web 安全規則與條件來允許、封鎖或計數 Web 請求。確保您的 CloudFront 分佈與 AWS WAF Web ACL 相關聯,以協助保護它免受惡意攻擊。您必須在 us-east-1 區域中套用此規則。使用範本參數部署 DeployEdgeRules = true。 | |
| 3562 | 閘道安全性、閘道、閘道組態 (19.1.12.C.01)。 | 確保無法公開存取 AWS Database Migration Service (DMS) 複寫執行個體,藉此管理對 AWS 雲端的存取。DMS 複寫執行個體可能包含敏感資訊,此類帳戶需要存取控制。 | |
| 3562 | 閘道安全性、閘道、閘道組態 (19.1.12.C.01)。 | 確保啟用執行個體中繼資料服務第 2 版 (IMDSv2) 方法可協助保護 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體中繼資料的存取和控制。IMDSv2 方法使用工作階段型控制項。透過 IMDSv2,您可以實作這些控制,限制執行個體中繼資料的變更。 | |
| 3562 | 閘道安全性、閘道、閘道組態 (19.1.12.C.01)。 | 確保無法公開存取 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,藉此管理對 AWS 雲端的存取。Amazon EC2 執行個體可能包含敏感資訊,此類帳戶需要存取控制。 | |
| 3562 | 閘道安全性、閘道、閘道組態 (19.1.12.C.01)。 | 在 Amazon Virtual Private Cloud (Amazon EC2) 執行個體,以啟用執行個體與 Amazon VPC 內其他服務之間的安全通訊,而不需要網際網路閘道、NAT 裝置或 VPN 連接。在 AWS 雲端中保持所有流量的安全。相較於使用公有端點的網域,位於 Amazon VPC 內的網域因為提供邏輯隔離,所以多了一層安全防護。將 Amazon EC2 執行個體指派給 Amazon VPC 以正確管理存取權。 | |
| 3562 | 閘道安全性、閘道、閘道組態 (19.1.12.C.01)。 | 此控制項會檢查 Elasticsearch 網域是否位於虛擬私有雲端 (VPC) 中。它不會評估 VPC 子網路路由組態來判斷公有存取。您應該確保 Elasticsearch 網域未連接到公有子網路。部署在 VPC 內的 Elasticsearch 網域可以透過私有 AWS 網路與 VPC 資源通訊,而無需周遊公有網際網路。此組態透過限制對傳輸中資料的存取來增加安全狀態。VPCs 提供多種網路控制,以安全存取 Elasticsearch 網域,包括網路 ACL 和安全群組 | |
| 3562 | 閘道安全性、閘道、閘道組態 (19.1.12.C.01)。 | 確保無法公開存取 Amazon Elastic MapReduce (EMR) 叢集主節點,藉此管理對 AWS 雲端的存取。Amazon EMR 叢集主節點可能包含敏感資訊,此類帳戶需要存取控制。 | |
| 3562 | 閘道安全性、閘道、閘道組態 (19.1.12.C.01)。 | Amazon GuardDuty 可以使用威脅情報摘要,協助監控和偵測潛在的網路安全事件。其中包括惡意 IPs和機器學習的清單,用於識別 AWS 雲端環境中的意外、未經授權和惡意活動。 | |
| 3562 | 閘道安全性、閘道、閘道組態 (19.1.12.C.01)。 | 確保無法公開存取 AWS Lambda 函數,以管理對 AWS 雲端中資源的存取。公開存取可能會導致資源可用性降低。 | |
| 3562 | 閘道安全性、閘道、閘道組態 (19.1.12.C.01)。 | 此控制項會檢查 OpenSearch 網域是否位於虛擬私有雲端 (VPC) 中。它不會評估 VPC 子網路路由組態來判斷公有存取。您應該確保 OpenSearch 網域未連接到公有子網路。在 VPC 內部署的 OpenSearch 網域可以透過私有 AWS 網路與 VPC 資源通訊,而不需要周遊公有網際網路。此組態透過限制對傳輸中資料的存取來增加安全狀態。VPCs 提供多種網路控制,以安全存取 OpenSearch 網域,包括網路 ACL 和安全群組。 | |
| 3562 | 閘道安全性、閘道、閘道組態 (19.1.12.C.01)。 | 透過確保 Amazon Relational Database Service (RDS) 執行個體不公開,管理對 AWS 雲端中資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊,此類帳戶需要原則和存取控制。 | |
| 3562 | 閘道安全性、閘道、閘道組態 (19.1.12.C.01)。 | 透過確保 Amazon Redshift 叢集不公開,管理對 AWS 雲端中資源的存取。Amazon Redshift 叢集可能包含敏感資訊和原則,此類帳戶需要原則和存取控制。 | |
| 3562 | 閘道安全性、閘道、閘道組態 (19.1.12.C.01)。 | 確保無法公開存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,藉此管理對 AWS 雲端中資源的存取。此規則可透過防止公開存取,避免未經授權的遠端使用者存取敏感資料。此規則會將 ignorePublicAcls 設為 True、將 blockPublicPolicy 設為 True、將 blockPublicAcls 設為 True,並將restrictPublicBuckets為 True。 | |
| 3562 | 閘道安全性、閘道、閘道組態 (19.1.12.C.01)。 | 確保 Amazon SageMaker 筆記本不允許直接網際網路存取,以管理對 AWS 雲端中資源的存取。透過防止直接存取網際網路,您可以避免未經授權的使用者存取敏感資料。 | |
| 3562 | 閘道安全性、閘道、閘道組態 (19.1.12.C.01)。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可以透過提供輸入和輸出網路流量到 AWS 資源的狀態篩選,協助管理網路存取。限制預設安全群組上的所有流量有助於限制對 AWS 資源的遠端存取。 | |
| 3562 | 閘道安全性、閘道、閘道組態 (19.1.12.C.01)。 | 虛擬私有雲端 (VPC) 流程日誌提供有關進出 Amazon Virtual Private Cloud (Amazon VPC) 中網路介面之 IP 流量的詳細資訊記錄。根據預設,流程日誌記錄包含 IP 流程不同元件的值,包括來源、目標和通訊協定。 | |
| 3623 | 閘道安全性、閘道、非軍事區域 (19.1.14.C.02)。 | 此控制項會檢查 Elasticsearch 網域是否位於虛擬私有雲端 (VPC) 中。它不會評估 VPC 子網路路由組態來判斷公有存取。您應該確保 Elasticsearch 網域未連接到公有子網路。部署在 VPC 內的 Elasticsearch 網域可以透過私有 AWS 網路與 VPC 資源通訊,而無需周遊公有網際網路。此組態透過限制對傳輸中資料的存取來增加安全狀態。VPCs 提供多種網路控制,以安全存取 Elasticsearch 網域,包括網路 ACL 和安全群組。 | |
| 3623 | 閘道安全性、閘道、非軍事區域 (19.1.14.C.02)。 | 此控制項會檢查 OpenSearch 網域是否位於虛擬私有雲端 (VPC) 中。它不會評估 VPC 子網路路由組態來判斷公有存取。您應該確保 OpenSearch 網域未連接到公有子網路。在 VPC 內部署的 OpenSearch 網域可以透過私有 AWS 網路與 VPC 資源通訊,而不需要周遊公有網際網路。此組態透過限制對傳輸中資料的存取來增加安全狀態。VPCs 提供多種網路控制,以安全存取 OpenSearch 網域,包括網路 ACL 和安全群組。 | |
| 3623 | 閘道安全性、閘道、非軍事區域 (19.1.14.C.02)。 | 透過確保 Amazon Relational Database Service (RDS) 執行個體不公開,管理對 AWS 雲端中資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊,此類帳戶需要原則和存取控制。 | |
| 3623 | 閘道安全性、閘道、非軍事區域 (19.1.14.C.02)。 | 透過確保 Amazon Redshift 叢集不公開,管理對 AWS 雲端中資源的存取。Amazon Redshift 叢集可能包含敏感資訊和原則,此類帳戶需要原則和存取控制。 | |
| 3815 | 網路安全、入侵偵測和預防、IDS/IPS 維護 (18.4.9.C.01)。 | Amazon GuardDuty 可以使用威脅情報摘要,協助監控和偵測潛在的網路安全事件。其中包括惡意 IPs和機器學習的清單,用於識別 AWS 雲端環境中的意外、未經授權和惡意活動。 | |
| 3857 | 網路安全、入侵偵測和預防、設定 IDS/IPS (18.4.11.C.01)。 | 此控制項會檢查是否已啟用 GuardDuty EKS 稽核日誌監控。GuardDuty EKS 稽核日誌監控可協助您偵測 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集中的潛在可疑活動。EKS 稽核日誌監控使用 Kubernetes 稽核日誌,從使用者、使用 Kubernetes API 的應用程式和控制平面,擷取依時間順序排列的活動。 | |
| 3857 | 網路安全、入侵偵測和預防、設定 IDS/IPS (18.4.11.C.01)。 | 此控制項會檢查是否已啟用具有自動代理程式管理的 GuardDuty EKS 執行期監控。Amazon GuardDuty 中的 EKS 保護提供威脅偵測涵蓋範圍,協助您保護 AWS 環境中的 Amazon EKS 叢集。EKS 執行期監控使用作業系統層級事件,協助您偵測 EKS 叢集內 EKS 節點和容器中的潛在威脅。 | |
| 3857 | 網路安全、入侵偵測和預防、設定 IDS/IPS (18.4.11.C.01)。 | 此控制項會檢查是否已啟用 GuardDuty Lambda 保護。GuardDuty Lambda 保護可協助您在叫用 AWS Lambda 函數時識別潛在的安全威脅。啟用 Lambda 保護之後,GuardDuty 會開始監控與您 AWS 帳戶中 Lambda 函數相關聯的 Lambda 網路活動日誌。當叫用 Lambda 函數且 GuardDuty 識別可疑的網路流量,指出 Lambda 函數中存在潛在惡意的程式碼片段時,GuardDuty 會產生問題清單。 | |
| 3857 | 網路安全、入侵偵測和預防、設定 IDS/IPS (18.4.11.C.01)。 | 此控制項會檢查是否已啟用 GuardDuty S3 保護。S3 保護可讓 GuardDuty 監控物件層級 API 操作,以識別 Amazon S3 儲存貯體內資料的潛在安全風險。GuardDuty 透過分析 AWS CloudTrail 管理事件和 CloudTrail S3 資料事件來監控對 S3 資源的威脅。 S3 | |
| 3875 | 網路安全、入侵偵測和預防、事件管理和相互關聯 (18.4.12.C.01)。 | Amazon GuardDuty 可以使用威脅情報摘要,協助監控和偵測潛在的網路安全事件。其中包括惡意 IPs和機器學習的清單,用於識別 AWS 雲端環境中的意外、未經授權和惡意活動。 | |
| 3875 | 網路安全、入侵偵測和預防、事件管理和相互關聯 (18.4.12.C.01)。 | AWS Security Hub 有助於監控未經授權的人員、連線、裝置和軟體。AWS Security Hub 會從多個 AWS 服務彙總、組織和排定安全提醒或調查結果的優先順序。這類服務包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager 和 AWS 合作夥伴解決方案。 | |
| 4441 | 資料管理、資料庫、資料庫檔案 (20.4.4.C.02.) | 此控制項會檢查 Elasticsearch 網域是否已啟用encryption-at-rest組態。如果未啟用靜態加密,則檢查會失敗。為了為敏感資料增加一層安全性,您應該將 Elasticsearch Service 網域設定為靜態加密。當您設定靜態資料的加密時,Amazon Key Management Service (KMS) 會存放和管理加密金鑰。為了執行加密,AWS KMS 使用進階加密標準演算法搭配 256 位元金鑰 (AES-256)。 | |
| 4441 | 資料管理、資料庫、資料庫檔案 (20.4.4.C.02.) | 此控制項會檢查 OpenSearch 網域是否已啟用encryption-at-rest組態。如果未啟用靜態加密,則檢查會失敗。為了為敏感資料增加一層安全性,您應該將 OpenSearch Service 網域設定為靜態加密。當您設定靜態資料的加密時,Amazon Key Management Service (KMS) 會存放和管理加密金鑰。為了執行加密,AWS KMS 使用進階加密標準演算法搭配 256 位元金鑰 (AES-256)。 | |
| 4441 | 資料管理、資料庫、資料庫檔案 (20.4.4.C.02.) | 為了協助您在環境中記錄和監控,請確定已啟用 Amazon Relational Database Service (RDS) 記錄。憑藉 Amazon RDS 日誌記錄,您可以擷取連線、中斷連線、查詢或查詢的資料表等事件。 | |
| 4441 | 資料管理、資料庫、資料庫檔案 (20.4.4.C.02.) | 確保您的 Amazon Relational Database Service (RDS) 快照已啟用加密。由於可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| 4441 | 資料管理、資料庫、資料庫檔案 (20.4.4.C.02.) | 確保 Amazon Relational Database Service (RDS) 執行個體不公開,以管理對 AWS 雲端中資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊和原則,此類帳戶需要原則和存取控制。 | |
| 4441 | 資料管理、資料庫、資料庫檔案 (20.4.4.C.02.) | 為了協助保護靜態資料,請確定已為您的 Amazon Relational Database Service (RDS) 執行個體啟用加密。由於 Amazon RDS 執行個體中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| 4441 | 資料管理、資料庫、資料庫檔案 (20.4.4.C.02.) | 為了保護靜態資料,請確保已針對 Amazon Redshift 叢集啟用加密功能。您還必須確保已在 Amazon Redshift 叢集上部署必要的組態。應啟用稽核日誌記錄,以提供資料庫中連線和使用者活動的相關資訊。此規則會將 clusterDbEncrypted 設定為 true,將 loggingEnabled 設定為 true。 | |
| 4445 | 資料管理、資料庫、責任 (20.4.5.C.02.) | 為了協助您在環境中記錄和監控,請確定已啟用 Amazon Relational Database Service (RDS) 記錄。憑藉 Amazon RDS 日誌記錄,您可以擷取連線、中斷連線、查詢或查詢的資料表等事件。 | |
| 4445 | 資料管理、資料庫、責任 (20.4.5.C.02.) | 為了保護靜態資料,請確保已針對 Amazon Redshift 叢集啟用加密功能。您還必須確保已在 Amazon Redshift 叢集上部署必要的組態。應啟用稽核日誌記錄,以提供資料庫中連線和使用者活動的相關資訊。此規則會將 clusterDbEncrypted 設定為 true,將 loggingEnabled 設定為 true。 | |
| 4829 | 企業系統安全性、雲端運算、系統可用性 (22.1.23.C.01)。 | Amazon DynamoDB Auto Scaling 使用 AWS Application Auto Scaling 服務來調整佈建的輸送量容量,以自動回應實際的流量模式。這可讓資料表或全域次要索引增加其佈建的讀取/寫入容量,不需限流即可處理突然增加的流量。 | |
| 4829 | 企業系統安全性、雲端運算、系統可用性 (22.1.23.C.01)。 | 為 Elastic Load Balancer (ELB) 啟用跨區域負載平衡,以利維持足夠的容量和可用性。跨區域負載平衡可減少在每個啟用的可用區域中維護同等執行個體數量的需求。還可以改善應用程式的能力,以處理一或多個執行個體遺失的狀況。 | |
| 4838 | 企業系統安全性、雲端運算、未經授權的存取 (22.1.24.C.03)。 | 收集 Simple Storage Service (Amazon S3) 資料事件有助於偵測任何異常活動。詳細資訊包括存取 Amazon S3 儲存貯體的 AWS 帳戶資訊、IP 地址和事件時間。 | |
| 4838 | 企業系統安全性、雲端運算、未經授權的存取 (22.1.24.C.03)。 | 確保 Amazon Elastic Block Store (EBS) 快照不可公開還原,以管理對 AWS 雲端的存取。EBS 磁碟區快照可能包含敏感資訊,此類帳戶需要存取控制。 | |
| 4838 | 企業系統安全性、雲端運算、未經授權的存取 (22.1.24.C.03)。 | 確保無法公開存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,藉此管理對 AWS 雲端中資源的存取。此規則可透過防止公開存取,避免未經授權的遠端使用者存取敏感資料。此規則會將 ignorePublicAcls 設定為 True、將 blockPublicPolicy 設定為 True、將 blockPublicAcls 設定為 True,並將restrictPublicBuckets為 True。 | |
| 4838 | 企業系統安全性、雲端運算、未經授權的存取 (22.1.24.C.03)。 | 僅允許授權使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理對 AWS 雲端中資源的存取。存取管理應與資料的分類一致。 | |
| 4838 | 企業系統安全性、雲端運算、未經授權的存取 (22.1.24.C.03)。 | 僅允許授權使用者、程序和裝置存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,以管理對 AWS 雲端中資源的存取。存取管理應與資料的分類一致。 | |
| 4839 | 企業系統安全性、雲端運算、未經授權的存取 (22.1.24.C.04)。 | 確保已針對 Amazon DynamoDB 資料表啟用加密功能。由於這些資料表中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。根據預設,DynamoDB 資料表會使用 AWS 擁有的 Key Management Service (KMS) 金鑰加密。 | |
| 4839 | 企業系統安全性、雲端運算、未經授權的存取 (22.1.24.C.04)。 | 由於可能存在敏感資料,因此為了保護靜態資料,請確保已針對 Amazon Elastic File System (EFS) 啟用加密功能。 | |
| 4839 | 企業系統安全性、雲端運算、未經授權的存取 (22.1.24.C.04)。 | 此控制項會檢查 Elasticsearch 網域是否已啟用encryption-at-rest組態。如果未啟用靜態加密,則檢查會失敗。為了為敏感資料增加一層安全性,您應該將 Elasticsearch Service 網域設定為靜態加密。當您設定靜態資料的加密時,Amazon Key Management Service (KMS) 會存放和管理加密金鑰。為了執行加密,AWS KMS 使用進階加密標準演算法搭配 256 位元金鑰 (AES-256)。 | |
| 4839 | 企業系統安全性、雲端運算、未經授權的存取 (22.1.24.C.04)。 | 此控制項會檢查 Elasticsearch 網域是否已啟用node-to-node加密。如果在網域上停用node-to-node加密,此控制會失敗。HTTPS (TLS) 可用來協助防止潛在攻擊者竊聽或使用person-in-the-middle或類似攻擊操縱網路流量。只能允許透過 HTTPS (TLS) 進行加密連線。啟用 Elasticsearch 網域的node-to-node加密,可確保叢集內通訊在傳輸中加密。 | |
| 4839 | 企業系統安全性、雲端運算、未經授權的存取 (22.1.24.C.04)。 | 確保 Elastic Load Balancer (ELB) 已設定使用 SSL 或 HTTPS 接聽程式。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| 4839 | 企業系統安全性、雲端運算、未經授權的存取 (22.1.24.C.04)。 | 由於可能存在敏感資料,且為了協助保護靜態資料,請確保已為您的 Amazon Elastic Block Store (EBS) 磁碟區啟用加密。 | |
| 4839 | 企業系統安全性、雲端運算、未經授權的存取 (22.1.24.C.04)。 | 此控制項會檢查 OpenSearch 網域是否已啟用encryption-at-rest組態。如果未啟用靜態加密,則檢查會失敗。為了為敏感資料增加一層安全性,您應該將 OpenSearch Service 網域設定為靜態加密。當您設定靜態資料的加密時,Amazon Key Management Service (KMS) 會存放和管理加密金鑰。為了執行加密,AWS KMS 使用進階加密標準演算法搭配 256 位元金鑰 (AES-256)。 | |
| 4839 | 企業系統安全性、雲端運算、未經授權的存取 (22.1.24.C.04)。 | 此控制項會檢查 OpenSearch 網域是否已啟用node-to-node加密。如果在網域上停用node-to-node加密,此控制會失敗。HTTPS (TLS) 可用來協助防止潛在攻擊者使用person-in-the-middle或類似攻擊來竊聽或操控網路流量。只能允許透過 HTTPS (TLS) 進行加密連線。啟用 OpenSearch 網域的node-to-node加密,可確保叢集內通訊在傳輸中加密。 | |
| 4839 | 企業系統安全性、雲端運算、未經授權的存取 (22.1.24.C.04)。 | 確保您的 Amazon Relational Database Service (RDS) 快照已啟用加密。由於可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| 4839 | 企業系統安全性、雲端運算、未經授權的存取 (22.1.24.C.04)。 | 為了協助保護靜態資料,請確定已為您的 Amazon Relational Database Service (RDS) 執行個體啟用加密。由於 Amazon RDS 執行個體中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| 4839 | 企業系統安全性、雲端運算、未經授權的存取 (22.1.24.C.04)。 | 為了保護靜態資料,請確保已針對 Amazon Redshift 叢集啟用加密功能。您還必須確保已在 Amazon Redshift 叢集上部署必要的組態。應啟用稽核日誌記錄,以提供資料庫中連線和使用者活動的相關資訊。此規則會將 clusterDbEncrypted 設定為 true,將 loggingEnabled 設定為 true。 | |
| 4839 | 企業系統安全性、雲端運算、未經授權的存取 (22.1.24.C.04)。 | 確保 Amazon Redshift 叢集需要 TLS/SSL 加密才能連線到 SQL 用戶端。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| 4839 | 企業系統安全性、雲端運算、未經授權的存取 (22.1.24.C.04)。 | 為協助保護傳輸中的資料,請確保 Amazon Simple Storage Service (Amazon S3) 儲存貯體要求使用 Secure Socket Layer (SSL)。由於可能存在敏感資料,因此請啟用傳輸中加密以協助保護該資料。 | |
| 4839 | 企業系統安全性、雲端運算、未經授權的存取 (22.1.24.C.04)。 | 為了協助保護靜態資料,請確保已啟用 SageMaker 端點的 AWS Key Management Service (KMS) 加密。由於 SageMaker 端點中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| 4839 | 企業系統安全性、雲端運算、未經授權的存取 (22.1.24.C.04)。 | 為了協助保護靜態資料,請確保已啟用 SageMaker 筆記本的 AWS Key Management Service (KMS) 加密。由於 SageMaker 筆記本中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| 4839 | 企業系統安全性、雲端運算、未經授權的存取 (22.1.24.C.04)。 | 為了協助保護靜態資料,請確保已啟用 AWS Key Management Service (KMS) 加密。 AWS Secrets Manager 由於 Secrets Manager 密碼中可能存在靜態敏感資料,因此請啟用靜態加密以協助保護該資料。 | |
| 4849 | 企業系統安全性、雲端運算、備份、復原封存和資料復原 (22.1.26.C.01)。 | Amazon Relational Database Service (RDS) 的備份功能會建立資料庫和交易日誌的備份。Amazon RDS 會自動建立資料庫執行個體的儲存磁碟區快照,並備份整個資料庫執行個體。系統可讓您設定特定的保留期間,以符合您的恢復能力要求。 | |
| 4849 | 企業系統安全性、雲端運算、備份、復原封存和資料復原 (22.1.26.C.01)。 | 啟用此規則可檢查資訊是否已備份。這也能確保 Amazon DynamoDB 啟用了時間點復原,藉以維護備份。復原會維護資料表在過去 35 天內的連續備份。 | |
| 4849 | 企業系統安全性、雲端運算、備份、復原封存和資料復原 (22.1.26.C.01)。 | 啟用自動備份後,Amazon ElastiCache 每天都會建立叢集備份。備份保留天數由貴組織指定。自動備份可協助防止資料遺失。如果發生失敗,您可以建立新叢集,從最新的備份還原您的資料。 | |
| 4849 | 企業系統安全性、雲端運算、備份、復原封存和資料復原 (22.1.26.C.01)。 | 確保 Amazon Relational Database Service (RDS) 執行個體已啟用刪除保護。使用刪除保護來防止 RDS 執行個體意外或惡意刪除,這可能會導致您的應用程式失去可用性。 | |
| 4849 | 企業系統安全性、雲端運算、備份、復原封存和資料復原 (22.1.26.C.01)。 | 確保 Amazon Relational Database Service (RDS) 執行個體已啟用刪除保護。使用刪除保護可防止意外或惡意刪除 Amazon RDS 執行個體,從而導致應用程式喪失可用性。 | |
| 4849 | 企業系統安全性、雲端運算、備份、復原封存和資料復原 (22.1.26.C.01)。 | 請確保 Amazon Redshift 叢集具有自動快照,以利處理資料備份。當叢集的自動快照已啟用時,Redshift 將定期為該叢集拍攝快照。Redshift 預設每隔 8 個小時或當每節點資料變更達 5 GB 時建立一次快照,以先到者為準。 | |
| 6843 | 存取控制和密碼、特殊權限存取管理、最低權限原則 (16.4.31.C.02.) | 多重要素驗證 (MFA) 在使用者存取 AWS 網站或服務時,除了其一般登入憑證之外,還要求使用者從 AWS 支援的 MFA 機制提供唯一身分驗證,以增加額外的安全性。支援的機制包括 U2F 安全金鑰、虛擬或硬體 MFA 裝置,以及以 SMS 為基礎的代碼。此規則會檢查是否針對使用主控台密碼的所有 AWS Identity and Access Management (IAM) 使用者啟用 AWS MFA。如果啟用 MFA,則表示規則合規。 | |
| 6843 | 存取控制和密碼、特殊權限存取管理、最低權限原則 (16.4.31.C.02.) | 確保為根使用者啟用硬體多重要素驗證 (MFA),以管理對 AWS 雲端中資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為使用者名稱和密碼多增加一層保護。透過要求根使用者的 MFA,您可以減少 AWS 帳戶遭到入侵的事件。 | |
| 6852 | 存取控制和密碼、特殊權限存取管理、特殊權限存取登入資料的暫停和撤銷 (16.4.33.C.01)。 | AWS Identity and Access Management (IAM) 可以透過檢查未在指定期間內使用的 IAM 密碼和存取金鑰,協助您取得存取許可和授權。如果識別出這些未使用的憑證,建議您停用和/或移除憑證,因為這可能會違反最低權限的原則。此規則會將 maxCredentialUsageAge 設定為 30 天。 | |
| 6860 | 存取控制和密碼、特殊權限存取管理、監控和檢閱 (16.4.35.C.02)。 | 您應該使用 CloudWatch Logs 設定 CloudTrail 來監控您的追蹤日誌,並在發生特定活動時收到通知。此規則會檢查 AWS CloudTrail 追蹤是否設定為將日誌傳送至 Amazon CloudWatch logs。 | |
| 6860 | 存取控制和密碼、特殊權限存取管理、監控和檢閱 (16.4.35.C.02)。 | AWS CloudTrail 可以透過記錄 AWS 管理主控台動作和 API 呼叫來協助進行不可否認。您可以識別呼叫 AWS 服務的使用者和 AWS 帳戶、呼叫產生的來源 IP 地址,以及呼叫的時間。擷取資料的詳細資訊會顯示在 AWS CloudTrail 記錄內容中。 | |
| 6861 | 存取控制和密碼、特殊權限存取管理、監控和檢閱 (16.4.35.C.03)。 | 此規則透過檢查是否啟用多個設定,協助確保使用 AWS CloudTrail 建議的 AWS 安全最佳實務。這包括在多個區域中使用日誌加密、日誌驗證和啟用 AWS CloudTrail。 | |
| 6953 | 存取控制和密碼、多重要素驗證、系統架構和安全控制 (16.7.34.C.02)。 | 多重要素驗證 (MFA) 在使用者存取 AWS 網站或服務時,除了其一般登入憑證之外,還要求使用者從 AWS 支援的 MFA 機制提供唯一身分驗證,以增加額外的安全性。支援的機制包括 U2F 安全金鑰、虛擬或硬體 MFA 裝置,以及以 SMS 為基礎的代碼。此規則會檢查是否針對使用主控台密碼的所有 AWS Identity and Access Management (IAM) 使用者啟用 AWS MFA。如果啟用 MFA,則表示規則合規。 | |
| 6953 | 存取控制和密碼、多重要素驗證、系統架構和安全控制 (16.7.34.C.02)。 | 確保為根使用者啟用硬體多重要素驗證 (MFA),以管理對 AWS 雲端中資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為使用者名稱和密碼多增加一層保護。透過要求根使用者的 MFA,您可以減少 AWS 帳戶遭到入侵的事件。 | |
| 7436 | 公有雲端安全、身分管理和存取控制、使用者名稱和密碼 (23.3.19.C.01)。 | 啟用此規則以限制對 AWS 雲端中資源的存取。此規則可確保為所有 IAM 使用者都啟用了多重要素驗證 (MFA)。MFA 在使用者名稱和密碼之外,多增加一層保護。透過為 IAM 使用者要求 MFA 來減少帳戶遭到入侵的事件。 | |
| 7436 | 公有雲端安全、身分管理和存取控制、使用者名稱和密碼 (23.3.19.C.01)。 | 確保所有具有主控台密碼的 AWS Identity and Access Management (IAM) 使用者都已啟用多重要素驗證 (MFA),以管理對 AWS 雲端中資源的存取。MFA 在使用者名稱和密碼之外,多增加一層保護。透過為 IAM 使用者要求 MFA,您可以減少帳戶遭到入侵的事件,並防止未經授權的使用者存取敏感資料。 | |
| 7436 | 公有雲端安全、身分管理和存取控制、使用者名稱和密碼 (23.3.19.C.01)。 | 確保為根使用者啟用硬體多重要素驗證 (MFA),以管理對 AWS 雲端中資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為使用者名稱和密碼多增加一層保護。透過要求根使用者的 MFA,您可以減少 AWS 帳戶遭到入侵的事件。 | |
| 7436 | 公有雲端安全、身分管理和存取控制、使用者名稱和密碼 (23.3.19.C.01)。 | 確保已啟用根使用者的多重要素驗證 (MFA),以管理對 AWS 雲端中資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為使用者名稱和密碼多增加一層保護。透過要求根使用者的 MFA,您可以減少 AWS 帳戶遭到入侵的事件。 | |
| 7437 | 公有雲端安全、身分管理和存取控制、使用者名稱和密碼 (23.3.19.C.01)。 | 啟用此規則以限制對 AWS 雲端中資源的存取。此規則可確保為所有 IAM 使用者都啟用了多重要素驗證 (MFA)。MFA 在使用者名稱和密碼之外,多增加一層保護。透過為 IAM 使用者要求 MFA 來減少帳戶遭到入侵的事件。 | |
| 7437 | 公有雲端安全、身分管理和存取控制、使用者名稱和密碼 (23.3.19.C.01)。 | 確保所有具有主控台密碼的 AWS Identity and Access Management (IAM) 使用者都已啟用多重要素驗證 (MFA),以管理對 AWS 雲端中資源的存取。MFA 在使用者名稱和密碼之外,多增加一層保護。透過為 IAM 使用者要求 MFA,您可以減少帳戶遭到入侵的事件,並防止未經授權的使用者存取敏感資料。 | |
| 7437 | 公有雲端安全、身分管理和存取控制、使用者名稱和密碼 (23.3.19.C.01)。 | 確保為根使用者啟用硬體多重要素驗證 (MFA),以管理對 AWS 雲端中資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為使用者名稱和密碼多增加一層保護。透過要求根使用者的 MFA,您可以減少 AWS 帳戶遭到入侵的事件。 | |
| 7437 | 公有雲端安全、身分管理和存取控制、使用者名稱和密碼 (23.3.19.C.01)。 | 確保已啟用根使用者的多重要素驗證 (MFA),以管理對 AWS 雲端中資源的存取。根使用者是 AWS 帳戶中權限最高的使用者。MFA 為使用者名稱和密碼多增加一層保護。透過要求根使用者的 MFA,您可以減少 AWS 帳戶遭到入侵的事件。 | |
| 7466 | Public Cloud Security、Data Protection in Public Cloud、Data Accessibility (23.4.10.C.01)。 | 確保無法公開存取 AWS Database Migration Service (DMS) 複寫執行個體,藉此管理對 AWS 雲端的存取。DMS 複寫執行個體可能包含敏感資訊,此類帳戶需要存取控制。 | |
| 7466 | Public Cloud Security、Data Protection in Public Cloud、Data Accessibility (23.4.10.C.01)。 | 確保啟用執行個體中繼資料服務第 2 版 (IMDSv2) 方法可協助保護 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體中繼資料的存取和控制。IMDSv2 方法使用工作階段型控制項。透過 IMDSv2,您可以實作這些控制,限制執行個體中繼資料的變更。 | |
| 7466 | Public Cloud Security、Data Protection in Public Cloud、Data Accessibility (23.4.10.C.01)。 | 確保無法公開存取 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,藉此管理對 AWS 雲端的存取。Amazon EC2 執行個體可能包含敏感資訊,此類帳戶需要存取控制。 | |
| 7466 | Public Cloud Security、Data Protection in Public Cloud、Data Accessibility (23.4.10.C.01)。 | 在 Amazon Virtual Private Cloud (VPC) 內部署 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,以啟用執行個體與 amazon VPC 內其他服務之間的安全通訊,而不需要網際網路閘道、NAT 裝置或 VPN 連接。在 AWS 雲端中保持所有流量的安全。相較於使用公有端點的網域,位於 Amazon VPC 內的網域因為使用邏輯隔離而更加安全。將 Amazon EC2 執行個體指派給 Amazon VPC 以正確管理存取權。 | |
| 7466 | Public Cloud Security、Data Protection in Public Cloud、Data Accessibility (23.4.10.C.01)。 | 此控制項會檢查 Elasticsearch 網域是否位於虛擬私有雲端 (VPC) 中。它不會評估 VPC 子網路路由組態來判斷公有存取。您應該確保 Elasticsearch 網域未連接到公有子網路。部署在 VPC 內的 Elasticsearch 網域可以透過私有 AWS 網路與 VPC 資源通訊,而無需周遊公有網際網路。此組態透過限制對傳輸中資料的存取來增加安全狀態。VPCs 提供多種網路控制,以安全存取 Elasticsearch 網域,包括網路 ACL 和安全群組 | |
| 7466 | Public Cloud Security、Data Protection in Public Cloud、Data Accessibility (23.4.10.C.01)。 | 確保無法公開存取 Amazon Elastic MapReduce (EMR) 叢集主節點,藉此管理對 AWS 雲端的存取。Amazon EMR 叢集主節點可能包含敏感資訊,此類帳戶需要存取控制。 | |
| 7466 | Public Cloud Security、Data Protection in Public Cloud、Data Accessibility (23.4.10.C.01)。 | Amazon GuardDuty 可以使用威脅情報摘要,協助監控和偵測潛在的網路安全事件。其中包括惡意 IPs和機器學習的清單,用於識別 AWS 雲端環境中的意外、未經授權和惡意活動。 | |
| 7466 | Public Cloud Security、Data Protection in Public Cloud、Data Accessibility (23.4.10.C.01)。 | 確保無法公開存取 AWS Lambda 函數,以管理對 AWS 雲端中資源的存取。公開存取可能會導致資源可用性降低。 | |
| 7466 | Public Cloud Security、Data Protection in Public Cloud、Data Accessibility (23.4.10.C.01)。 | 此控制項會檢查 OpenSearch 網域是否位於虛擬私有雲端 (VPC) 中。它不會評估 VPC 子網路路由組態來判斷公有存取。您應該確保 OpenSearch 網域未連接到公有子網路。在 VPC 內部署的 OpenSearch 網域可以透過私有 AWS 網路與 VPC 資源通訊,而不需要周遊公有網際網路。此組態透過限制對傳輸中資料的存取來增加安全狀態。VPCs 提供多種網路控制,以安全存取 OpenSearch 網域,包括網路 ACL 和安全群組。 | |
| 7466 | Public Cloud Security、Data Protection in Public Cloud、Data Accessibility (23.4.10.C.01)。 | 透過確保 Amazon Relational Database Service (RDS) 執行個體不公開,管理對 AWS 雲端中資源的存取。Amazon RDS 資料庫執行個體可能包含敏感資訊,此類帳戶需要原則和存取控制。 | |
| 7466 | Public Cloud Security、Data Protection in Public Cloud、Data Accessibility (23.4.10.C.01)。 | 透過確保 Amazon Redshift 叢集不公開,管理對 AWS 雲端中資源的存取。Amazon Redshift 叢集可能包含敏感資訊和原則,此類帳戶需要原則和存取控制。 | |
| 7466 | Public Cloud Security、Data Protection in Public Cloud、Data Accessibility (23.4.10.C.01)。 | 確保無法公開存取 Amazon Simple Storage Service (Amazon S3) 儲存貯體,藉此管理對 AWS 雲端中資源的存取。此規則可透過防止公開存取,避免未經授權的遠端使用者存取敏感資料。此規則會將 ignorePublicAcls 設為 True、將 blockPublicPolicy 設為 True、將 blockPublicAcls 設為 True,並將restrictPublicBuckets為 True。 | |
| 7466 | Public Cloud Security、Data Protection in Public Cloud、Data Accessibility (23.4.10.C.01)。 | 確保 Amazon SageMaker 筆記本不允許直接網際網路存取,以管理對 AWS 雲端中資源的存取。透過防止直接存取網際網路,您可以避免未經授權的使用者存取敏感資料。 | |
| 7466 | Public Cloud Security、Data Protection in Public Cloud、Data Accessibility (23.4.10.C.01)。 | 確保 AWS Systems Manager (SSM) 文件不是公有文件,因為這可能會允許意外存取您的 SSM 文件。公有 SSM 文件可能會公開帳戶、資源和內部程序的相關資訊。 | |
| 7466 | Public Cloud Security、Data Protection in Public Cloud、Data Accessibility (23.4.10.C.01)。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全群組可以透過提供輸入和輸出網路流量到 AWS 資源的狀態篩選,協助管理網路存取。限制預設安全群組上的所有流量有助於限制對 AWS 資源的遠端存取。 | |
| 7466 | Public Cloud Security、Data Protection in Public Cloud、Data Accessibility (23.4.10.C.01)。 | 虛擬私有雲端 (VPC) 流程日誌提供有關進出 Amazon Virtual Private Cloud (Amazon VPC) 中網路介面之 IP 流量的詳細資訊記錄。根據預設,流程日誌記錄包含 IP 流程不同元件的值,包括來源、目標和通訊協定。 | |
| 7496 | 公有雲端安全、記錄和警示、記錄需求 (23.5.11.C.01)。 | API Gateway 日誌記錄會顯示存取 API 的使用者及其存取 API 方式的詳細檢視。此洞察功能可讓您掌握使用者活動。 | |
| 7496 | 公有雲端安全、記錄和警示、記錄需求 (23.5.11.C.01)。 | 使用 AWS CloudTrail 日誌檔案驗證來檢查 CloudTrail 日誌的完整性。在 CloudTrail 交付日誌檔後,日誌檔驗證可協助您確定此檔案是否遭到修改、刪除或未經變更。此功能以產業標準演算法建置:SHA-256 適用於進行雜湊,而含 RSA 的 SHA-256 適用於進行數位簽署。這可透過運算方式防止修改、刪除或偽造 CloudTrail 日誌檔案,而無需偵測。 | |
| 7496 | 公有雲端安全、記錄和警示、記錄需求 (23.5.11.C.01)。 | 此控制可檢查是否已在 CloudFront 分佈上啟用伺服器存取日誌記錄。如果未針對分佈啟用存取日誌記錄,則此控制會失敗。CloudFront 存取日誌可提供 CloudFront 所收到的每個使用者請求的詳細資訊。每個日誌都包含收到請求的日期和時間、提出請求的檢視者 IP 地址、請求的來源,以及檢視者提出請求的連接埠號碼等資訊。這些日誌適用於安全與存取稽核及鑑識調查等應用程式。您必須在 us-east-1 區域中套用此規則。 | |
| 7496 | 公有雲端安全、記錄和警示、記錄需求 (23.5.11.C.01)。 | AWS CloudTrail 可以透過記錄 AWS 管理主控台動作和 API 呼叫來協助進行不可否認。您可以識別呼叫 AWS 服務的使用者和 AWS 帳戶、呼叫產生的來源 IP 地址,以及呼叫的時間。擷取資料的詳細資訊會顯示在 AWS CloudTrail 記錄內容中。 | |
| 7496 | 公有雲端安全、記錄和警示、記錄需求 (23.5.11.C.01)。 | 為了協助保護靜態敏感資料,請確保已針對 Amazon CloudWatch 日誌群組啟用加密功能。 | |
| 7496 | 公有雲端安全、記錄和警示、記錄需求 (23.5.11.C.01)。 | Elastic Load Balancing 活動是環境內的通訊中心點。請確保已啟用 ELB 日誌記錄。收集的資料可提供有關傳送至 ELB 之請求的詳細資訊。每個日誌包含收到請求的時間、用戶端的 IP 地址、延遲、請求路徑和伺服器回應等資訊。 | |
| 7496 | 公有雲端安全、記錄和警示、記錄需求 (23.5.11.C.01)。 | 為了協助在您的環境中記錄和監控,請確保已啟用 Amazon Relational Database Service (RDS) 記錄。憑藉 Amazon RDS 日誌記錄,您可以擷取連線、中斷連線、查詢或查詢的資料表等事件。 | |
| 7496 | 公有雲端安全、記錄和警示、記錄需求 (23.5.11.C.01)。 | 為了協助您在環境中記錄和監控,請在區域和全域 Web ACL 上啟用 AWS WAF (V2) 記錄。 ACLs AWS WAF 記錄提供有關 Web ACL 分析流量的詳細資訊。日誌會記錄 AWS WAF 從 AWS 資源收到請求的時間、請求的相關資訊,以及每個請求相符規則的動作。 | |
| 7545 | 存取控制和密碼、識別、身分驗證和身分驗證、密碼和政策 (16.1.31.C.02)。 | 確保在未實作多重要素驗證 (MFA) 或無密碼身分驗證的系統上進行年度密碼變更。 | |
| 7546 | 存取控制和密碼、識別、身分驗證和身分驗證、密碼和政策 (16.1.31.C.03)。 | 確保密碼長度下限為 16 個字元 (例如四個單字)。密碼必須長、強且唯一。不會強制執行明確的複雜性要求 (例如數字或特殊字元),但密碼必須是唯一的或隨機的,並且可能包含特殊字元和數字來達成此目的。 |
範本
################################################################################## # # Conformance Pack: # Operational Best Practices for NZISM Foundation # # This conformance pack helps verify compliance with NZISM requirements. # ################################################################################## Resources: AcmCertificateExpirationCheck: Controls: [ '1667' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: acm-certificate-expiration-check InputParameters: daysToExpiration: '30' Scope: ComplianceResourceTypes: - AWS::ACM::Certificate Source: Owner: AWS SourceIdentifier: ACM_CERTIFICATE_EXPIRATION_CHECK Description: "SHOULD 14.5.8.C.01[CID:1667]| Software security/Web Application Development/Web applications" AlbHttpToHttpsRedirectionCheck: Controls: [ '1847', '2090' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: alb-http-to-https-redirection-check Source: Owner: AWS SourceIdentifier: ALB_HTTP_TO_HTTPS_REDIRECTION_CHECK Description: "MUST 16.1.37.C.01[CID:1847], MUST 17.1.55.C.02[CID:2090]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in t..." ApiGwExecutionLoggingEnabled: Controls: [ '2013', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: api-gw-execution-logging-enabled InputParameters: loggingLevel: 'ERROR, INFO' Scope: ComplianceResourceTypes: - AWS::ApiGateway::Stage - AWS::ApiGatewayV2::Stage Source: Owner: AWS SourceIdentifier: API_GW_EXECUTION_LOGGING_ENABLED Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..." CloudTrailCloudWatchLogsEnabled: Controls: [ '1998', '6860' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloud-trail-cloud-watch-logs-enabled Source: Owner: AWS SourceIdentifier: CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED Description: "SHOULD 16.6.6.C.02[CID:1998], MUST 16.4.35.C.02[CID:6860]| Access Control and Passwords: (Event Logging and Auditing/Maintaining system management logs and Privileged..." CloudTrailEncryptionEnabled: Controls: [ '2082' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloud-trail-encryption-enabled Source: Owner: AWS SourceIdentifier: CLOUD_TRAIL_ENCRYPTION_ENABLED Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements" CloudTrailLogFileValidationEnabled: Controls: [ '2022', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloud-trail-log-file-validation-enabled Source: Owner: AWS SourceIdentifier: CLOUD_TRAIL_LOG_FILE_VALIDATION_ENABLED Description: "MUST 16.6.12.C.01[CID:2022], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Event log protection and Public Cloud Security/Loggi..." CloudfrontAccesslogsEnabled: Condition: IsEdge Controls: [ '2013', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudfront-accesslogs-enabled Source: Owner: AWS SourceIdentifier: CLOUDFRONT_ACCESSLOGS_ENABLED Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..." CloudfrontAssociatedWithWaf: Condition: IsEdge Controls: [ '3562' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudfront-associated-with-waf Source: Owner: AWS SourceIdentifier: CLOUDFRONT_ASSOCIATED_WITH_WAF Description: "MUST 19.1.12.C.01[CID:3562]| Gateway security/Gateways/Configuration of gateways" CloudfrontDefaultRootObjectConfigured: Condition: IsEdge Controls: [ '1661' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudfront-default-root-object-configured Source: Owner: AWS SourceIdentifier: CLOUDFRONT_DEFAULT_ROOT_OBJECT_CONFIGURED Description: "SHOULD 14.5.6.C.01[CID:1661]| Software security/Web Application Development/Agency website content" CloudfrontViewerPolicyHttps: Condition: IsEdge Controls: [ '1847' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudfront-viewer-policy-https Source: Owner: AWS SourceIdentifier: CLOUDFRONT_VIEWER_POLICY_HTTPS Description: "MUST 16.1.37.C.01[CID:1847]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in transit" CloudtrailEnabled: Controls: [ '1998', '2013', '6860', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudtrail-enabled Source: Owner: AWS SourceIdentifier: CLOUD_TRAIL_ENABLED Description: "SHOULD 16.6.6.C.02[CID:1998], SHOULD 16.6.10.C.02[CID:2013], MUST 16.4.35.C.02[CID:6860], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords: (Event Logging and..." CloudtrailS3DataeventsEnabled: Controls: [ '4838' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudtrail-s3-dataevents-enabled Source: Owner: AWS SourceIdentifier: CLOUDTRAIL_S3_DATAEVENTS_ENABLED Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access" CloudtrailSecurityTrailEnabled: Controls: [ '6861' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudtrail-security-trail-enabled Source: Owner: AWS SourceIdentifier: CLOUDTRAIL_SECURITY_TRAIL_ENABLED Description: "MUST 16.4.35.C.03[CID:6861]| Access Control and Passwords/Privileged Access Management/Monitoring and Review" CloudwatchLogGroupEncrypted: Controls: [ '2022', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudwatch-log-group-encrypted Source: Owner: AWS SourceIdentifier: CLOUDWATCH_LOG_GROUP_ENCRYPTED Description: "MUST 16.6.12.C.01[CID:2022], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Event log protection and Public Cloud Security/Loggi..." CmkBackingKeyRotationEnabled: Controls: [ '3021' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cmk-backing-key-rotation-enabled Source: Owner: AWS SourceIdentifier: CMK_BACKING_KEY_ROTATION_ENABLED Description: "SHOULD 17.9.25.C.01[CID:3021]| Cryptography/Key Management/Contents of KMPs" CwLoggroupRetentionPeriodCheck: Controls: [ '1998', '2028' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cw-loggroup-retention-period-check InputParameters: MinRetentionTime: '545' Source: Owner: AWS SourceIdentifier: CW_LOGGROUP_RETENTION_PERIOD_CHECK Description: "SHOULD 16.6.6.C.02[CID:1998], MUST 16.6.13.C.01[CID:2028]| Access Control and Passwords/Event Logging and Auditing: (Maintaining system management logs and Event log ..." DbInstanceBackupEnabled: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: db-instance-backup-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: DB_INSTANCE_BACKUP_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" DmsReplicationNotPublic: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: dms-replication-not-public Source: Owner: AWS SourceIdentifier: DMS_REPLICATION_NOT_PUBLIC Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." DynamodbAutoscalingEnabled: Controls: [ '4829' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: dynamodb-autoscaling-enabled Scope: ComplianceResourceTypes: - AWS::DynamoDB::Table Source: Owner: AWS SourceIdentifier: DYNAMODB_AUTOSCALING_ENABLED Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability" DynamodbPitrEnabled: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: dynamodb-pitr-enabled Scope: ComplianceResourceTypes: - AWS::DynamoDB::Table Source: Owner: AWS SourceIdentifier: DYNAMODB_PITR_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" DynamodbTableEncryptedKms: Controls: [ '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: dynamodb-table-encrypted-kms Scope: ComplianceResourceTypes: - AWS::DynamoDB::Table Source: Owner: AWS SourceIdentifier: DYNAMODB_TABLE_ENCRYPTED_KMS Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access" EbsSnapshotPublicRestorableCheck: Controls: [ '4838' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ebs-snapshot-public-restorable-check Source: Owner: AWS SourceIdentifier: EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access" Ec2EbsEncryptionByDefault: Controls: [ '2082' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ec2-ebs-encryption-by-default Source: Owner: AWS SourceIdentifier: EC2_EBS_ENCRYPTION_BY_DEFAULT Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements" Ec2Imdsv2Check: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ec2-imdsv2-check Scope: ComplianceResourceTypes: - AWS::EC2::Instance Source: Owner: AWS SourceIdentifier: EC2_IMDSV2_CHECK Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." Ec2InstanceManagedBySystemsManager: Controls: [ '1149' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ec2-instance-managed-by-systems-manager Scope: ComplianceResourceTypes: - AWS::EC2::Instance - AWS::SSM::ManagedInstanceInventory Source: Owner: AWS SourceIdentifier: EC2_INSTANCE_MANAGED_BY_SSM Description: "SHOULD 14.1.8.C.01[CID:1149]| Software security/Standard Operating Environments/Developing hardened SOEs" Ec2InstanceNoPublicIp: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ec2-instance-no-public-ip Scope: ComplianceResourceTypes: - AWS::EC2::Instance Source: Owner: AWS SourceIdentifier: EC2_INSTANCE_NO_PUBLIC_IP Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." Ec2InstancesInVpc: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ec2-instances-in-vpc Scope: ComplianceResourceTypes: - AWS::EC2::Instance Source: Owner: AWS SourceIdentifier: INSTANCES_IN_VPC Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." Ec2ManagedinstanceAssociationComplianceStatusCheck: Controls: [ '1149' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ec2-managedinstance-association-compliance-status-check Scope: ComplianceResourceTypes: - AWS::SSM::AssociationCompliance Source: Owner: AWS SourceIdentifier: EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK Description: "SHOULD 14.1.8.C.01[CID:1149]| Software security/Standard Operating Environments/Developing hardened SOEs" Ec2ManagedinstancePatchComplianceStatusCheck: Controls: [ '3449', '3451', '3452', '3453' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ec2-managedinstance-patch-compliance-status-check Scope: ComplianceResourceTypes: - AWS::SSM::PatchCompliance Source: Owner: AWS SourceIdentifier: EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK Description: "MUST 12.4.4.C.02[CID:3449], SHOULD 12.4.4.C.04[CID:3451], SHOULD 12.4.4.C.05[CID:3452], SHOULD 12.4.4.C.06[CID:3453]| Product Security/Product Patching and Updating/Pa..." EcrPrivateImageScanningEnabled: Controls: [ '3449' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ecr-private-image-scanning-enabled Scope: ComplianceResourceTypes: - AWS::ECR::Repository Source: Owner: AWS SourceIdentifier: ECR_PRIVATE_IMAGE_SCANNING_ENABLED Description: "MUST 12.4.4.C.02[CID:3449]| Product Security/Product Patching and Updating/Patching vulnerabilities in products" EcsContainersNonprivileged: Controls: [ '1149' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ecs-containers-nonprivileged Scope: ComplianceResourceTypes: - AWS::ECS::TaskDefinition Source: Owner: AWS SourceIdentifier: ECS_CONTAINERS_NONPRIVILEGED Description: "SHOULD 14.1.8.C.01[CID:1149]| Software security/Standard Operating Environments/Developing hardened SOEs" EcsContainersReadonlyAccess: Controls: [ '1149' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ecs-containers-readonly-access Scope: ComplianceResourceTypes: - AWS::ECS::TaskDefinition Source: Owner: AWS SourceIdentifier: ECS_CONTAINERS_READONLY_ACCESS Description: "SHOULD 14.1.8.C.01[CID:1149]| Software security/Standard Operating Environments/Developing hardened SOEs" EfsEncryptedCheck: Controls: [ '2082', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: efs-encrypted-check Source: Owner: AWS SourceIdentifier: EFS_ENCRYPTED_CHECK Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements and Enterpri..." ElasticBeanstalkManagedUpdatesEnabled: Controls: [ '3452' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elastic-beanstalk-managed-updates-enabled Scope: ComplianceResourceTypes: - AWS::ElasticBeanstalk::Environment Source: Owner: AWS SourceIdentifier: ELASTIC_BEANSTALK_MANAGED_UPDATES_ENABLED Description: "SHOULD 12.4.4.C.05[CID:3452]| Product Security/Product Patching and Updating/Patching vulnerabilities in products" ElasticacheRedisClusterAutomaticBackupCheck: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elasticache-redis-cluster-automatic-backup-check Source: Owner: AWS SourceIdentifier: ELASTICACHE_REDIS_CLUSTER_AUTOMATIC_BACKUP_CHECK Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" ElasticsearchEncryptedAtRest: Controls: [ '2082', '4441', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elasticsearch-encrypted-at-rest Source: Owner: AWS SourceIdentifier: ELASTICSEARCH_ENCRYPTED_AT_REST Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..." ElasticsearchInVpcOnly: Controls: [ '3562', '3623', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elasticsearch-in-vpc-only Source: Owner: AWS SourceIdentifier: ELASTICSEARCH_IN_VPC_ONLY Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..." ElasticsearchNodeToNodeEncryptionCheck: Controls: [ '1847', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elasticsearch-node-to-node-encryption-check Scope: ComplianceResourceTypes: - AWS::Elasticsearch::Domain Source: Owner: AWS SourceIdentifier: ELASTICSEARCH_NODE_TO_NODE_ENCRYPTION_CHECK Description: "MUST 16.1.37.C.01[CID:1847], SHOULD 22.1.24.C.04[CID:4839]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in..." ElbCrossZoneLoadBalancingEnabled: Controls: [ '4829' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elb-cross-zone-load-balancing-enabled Scope: ComplianceResourceTypes: - AWS::ElasticLoadBalancing::LoadBalancer Source: Owner: AWS SourceIdentifier: ELB_CROSS_ZONE_LOAD_BALANCING_ENABLED Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability" ElbCustomSecurityPolicySslCheck: Controls: [ '2598', '2600' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elb-custom-security-policy-ssl-check InputParameters: sslProtocolsAndCiphers: 'Protocol-TLSv1.2,ECDHE-ECDSA-AES256-GCM-SHA384' Scope: ComplianceResourceTypes: - AWS::ElasticLoadBalancing::LoadBalancer Source: Owner: AWS SourceIdentifier: ELB_CUSTOM_SECURITY_POLICY_SSL_CHECK Description: "SHOULD 17.4.16.C.01[CID:2598], SHOULD NOT 17.4.16.C.02[CID:2600]| Cryptography/Transport Layer Security/Using TLS" ElbLoggingEnabled: Controls: [ '2013', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elb-logging-enabled Scope: ComplianceResourceTypes: - AWS::ElasticLoadBalancing::LoadBalancer - AWS::ElasticLoadBalancingV2::LoadBalancer Source: Owner: AWS SourceIdentifier: ELB_LOGGING_ENABLED Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..." ElbTlsHttpsListenersOnly: Controls: [ '1667', '1847', '2090', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elb-tls-https-listeners-only Scope: ComplianceResourceTypes: - AWS::ElasticLoadBalancing::LoadBalancer Source: Owner: AWS SourceIdentifier: ELB_TLS_HTTPS_LISTENERS_ONLY Description: "SHOULD 14.5.8.C.01[CID:1667], MUST 16.1.37.C.01[CID:1847], MUST 17.1.55.C.02[CID:2090], SHOULD 22.1.24.C.04[CID:4839]| Software security/Web Application Development/We..." EmrMasterNoPublicIp: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: emr-master-no-public-ip Source: Owner: AWS SourceIdentifier: EMR_MASTER_NO_PUBLIC_IP Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." EncryptedVolumes: Controls: [ '2082', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: encrypted-volumes Scope: ComplianceResourceTypes: - AWS::EC2::Volume Source: Owner: AWS SourceIdentifier: ENCRYPTED_VOLUMES Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements and Enterpri..." GuarddutyEksProtectionAuditEnabled: Controls: [ '3857' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: guardduty-eks-protection-audit-enabled Scope: ComplianceResourceTypes: - AWS::GuardDuty::Detector Source: Owner: AWS SourceIdentifier: GUARDDUTY_EKS_PROTECTION_AUDIT_ENABLED Description: "SHOULD 18.4.11.C.01[CID:3857]| Network security/Intrusion Detection and Prevention/Configuring the IDS/IPS" GuarddutyEksProtectionRuntimeEnabled: Controls: [ '3857' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: guardduty-eks-protection-runtime-enabled Scope: ComplianceResourceTypes: - AWS::GuardDuty::Detector Source: Owner: AWS SourceIdentifier: GUARDDUTY_EKS_PROTECTION_RUNTIME_ENABLED Description: "SHOULD 18.4.11.C.01[CID:3857]| Network security/Intrusion Detection and Prevention/Configuring the IDS/IPS" GuarddutyEnabledCentralized: Controls: [ '3562', '3815', '3875', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: guardduty-enabled-centralized Source: Owner: AWS SourceIdentifier: GUARDDUTY_ENABLED_CENTRALIZED Description: "MUST 19.1.12.C.01[CID:3562], MUST 18.4.9.C.01[CID:3815], SHOULD 18.4.12.C.01[CID:3875], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateway..." GuarddutyLambdaProtectionEnabled: Controls: [ '3857' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: guardduty-lambda-protection-enabled Scope: ComplianceResourceTypes: - AWS::GuardDuty::Detector Source: Owner: AWS SourceIdentifier: GUARDDUTY_LAMBDA_PROTECTION_ENABLED Description: "SHOULD 18.4.11.C.01[CID:3857]| Network security/Intrusion Detection and Prevention/Configuring the IDS/IPS" GuarddutyRuntimeMonitoringEnabled: Controls: [ '1154' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: guardduty-runtime-monitoring-enabled Scope: ComplianceResourceTypes: - AWS::GuardDuty::Detector Source: Owner: AWS SourceIdentifier: GUARDDUTY_RUNTIME_MONITORING_ENABLED Description: "SHOULD 7.1.7.C.02[CID:1154]| Information Security Incidents/Detecting Information Security Incidents/Preventing and detecting information security incidents" GuarddutyS3ProtectionEnabled: Controls: [ '3857' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: guardduty-s3-protection-enabled Scope: ComplianceResourceTypes: - AWS::GuardDuty::Detector Source: Owner: AWS SourceIdentifier: GUARDDUTY_S3_PROTECTION_ENABLED Description: "SHOULD 18.4.11.C.01[CID:3857]| Network security/Intrusion Detection and Prevention/Configuring the IDS/IPS" IamPasswordPolicy: Controls: [ '7545', '7546' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: iam-password-policy InputParameters: MaxPasswordAge: '1095' MinimumPasswordLength: '16' PasswordReusePrevention: '24' RequireUppercaseCharacters: 'false' RequireLowercaseCharacters: 'false' RequireSymbols: 'false' RequireNumbers: 'false' Source: Owner: AWS SourceIdentifier: IAM_PASSWORD_POLICY Description: "MUST 16.1.31.C.02[CID:7545], MUST 16.1.31.C.03[CID:7546]| Access Control and Passwords/Identification, Authentication and Authentication/Passwords and policy" IamPolicyNoStatementsWithAdminAccess: Controls: [ '1946' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: iam-policy-no-statements-with-admin-access Scope: ComplianceResourceTypes: - AWS::IAM::Policy Source: Owner: AWS SourceIdentifier: IAM_POLICY_NO_STATEMENTS_WITH_ADMIN_ACCESS Description: "SHOULD 16.3.5.C.02[CID:1946]| Access Control and Passwords/Privileged User Access/Use of privileged accounts" IamRootAccessKeyCheck: Controls: [ '1946' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: iam-root-access-key-check Source: Owner: AWS SourceIdentifier: IAM_ROOT_ACCESS_KEY_CHECK Description: "SHOULD 16.3.5.C.02[CID:1946]| Access Control and Passwords/Privileged User Access/Use of privileged accounts" IamUserMfaEnabled: Controls: [ '1841', '7436', '7437' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: iam-user-mfa-enabled Source: Owner: AWS SourceIdentifier: IAM_USER_MFA_ENABLED Description: "SHOULD 16.1.35.C.02[CID:1841], MUST 23.3.19.C.01[CID:7436], MUST 23.3.19.C.01[CID:7437]| Access Control and Passwords/Identification, Authentication and Passwords/Meth..." IamUserUnusedCredentialsCheck: Controls: [ '1893', '6852' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: iam-user-unused-credentials-check InputParameters: maxCredentialUsageAge: '90' Source: Owner: AWS SourceIdentifier: IAM_USER_UNUSED_CREDENTIALS_CHECK Description: "SHOULD 16.1.46.C.02[CID:1893], MUST 16.4.33.C.01[CID:6852]| Access Control and Passwords: (Identification, Authentication and Passwords/Suspension of access and Privi..." LambdaFunctionPublicAccessProhibited: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: lambda-function-public-access-prohibited Scope: ComplianceResourceTypes: - AWS::Lambda::Function Source: Owner: AWS SourceIdentifier: LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." MfaEnabledForIamConsoleAccess: Controls: [ '1841', '6843', '6953', '7436', '7437' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: mfa-enabled-for-iam-console-access Source: Owner: AWS SourceIdentifier: MFA_ENABLED_FOR_IAM_CONSOLE_ACCESS Description: "SHOULD 16.1.35.C.02[CID:1841], SHOULD 16.4.31.C.02[CID:6843], SHOULD 16.7.34.C.02[CID:6953], MUST 23.3.19.C.01[CID:7436], MUST 23.3.19.C.01[CID:7437]| Access Control a..." OpensearchEncryptedAtRest: Controls: [ '2082', '4441', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: opensearch-encrypted-at-rest Scope: ComplianceResourceTypes: - AWS::OpenSearch::Domain Source: Owner: AWS SourceIdentifier: OPENSEARCH_ENCRYPTED_AT_REST Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..." OpensearchInVpcOnly: Controls: [ '3562', '3623', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: opensearch-in-vpc-only Scope: ComplianceResourceTypes: - AWS::OpenSearch::Domain Source: Owner: AWS SourceIdentifier: OPENSEARCH_IN_VPC_ONLY Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..." OpensearchNodeToNodeEncryptionCheck: Controls: [ '1847', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: opensearch-node-to-node-encryption-check Scope: ComplianceResourceTypes: - AWS::OpenSearch::Domain Source: Owner: AWS SourceIdentifier: OPENSEARCH_NODE_TO_NODE_ENCRYPTION_CHECK Description: "MUST 16.1.37.C.01[CID:1847], SHOULD 22.1.24.C.04[CID:4839]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in..." RdsAutomaticMinorVersionUpgradeEnabled: Controls: [ '3452' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-automatic-minor-version-upgrade-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_AUTOMATIC_MINOR_VERSION_UPGRADE_ENABLED Description: "SHOULD 12.4.4.C.05[CID:3452]| Product Security/Product Patching and Updating/Patching vulnerabilities in products" RdsClusterDeletionProtectionEnabled: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-cluster-deletion-protection-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBCluster Source: Owner: AWS SourceIdentifier: RDS_CLUSTER_DELETION_PROTECTION_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" RdsInstanceDeletionProtectionEnabled: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-instance-deletion-protection-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_INSTANCE_DELETION_PROTECTION_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" RdsInstancePublicAccessCheck: Controls: [ '3562', '3623', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-instance-public-access-check Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_INSTANCE_PUBLIC_ACCESS_CHECK Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..." RdsLoggingEnabled: Controls: [ '2013', '4441', '4445', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-logging-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_LOGGING_ENABLED Description: "SHOULD 16.6.10.C.02[CID:2013], SHOULD 20.4.4.C.02[CID:4441], SHOULD 20.4.5.C.02[CID:4445], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and ..." RdsSnapshotEncrypted: Controls: [ '2082', '4441', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-snapshot-encrypted Scope: ComplianceResourceTypes: - AWS::RDS::DBSnapshot - AWS::RDS::DBClusterSnapshot Source: Owner: AWS SourceIdentifier: RDS_SNAPSHOT_ENCRYPTED Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..." RdsSnapshotsPublicProhibited: Controls: [ '4441' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-snapshots-public-prohibited Scope: ComplianceResourceTypes: - AWS::RDS::DBSnapshot - AWS::RDS::DBClusterSnapshot Source: Owner: AWS SourceIdentifier: RDS_SNAPSHOTS_PUBLIC_PROHIBITED Description: "SHOULD 20.4.4.C.02[CID:4441]| Data management/Databases/Database files" RdsStorageEncrypted: Controls: [ '2082', '4441', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-storage-encrypted Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_STORAGE_ENCRYPTED Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..." RedshiftBackupEnabled: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: redshift-backup-enabled Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_BACKUP_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" RedshiftClusterConfigurationCheck: Controls: [ '4441', '4445', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: redshift-cluster-configuration-check InputParameters: clusterDbEncrypted: 'true' loggingEnabled: 'true' Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_CLUSTER_CONFIGURATION_CHECK Description: "SHOULD 20.4.4.C.02[CID:4441], SHOULD 20.4.5.C.02[CID:4445], SHOULD 22.1.24.C.04[CID:4839]| Data management/Databases: (Database files and Accountability) and Enterpr..." RedshiftClusterMaintenancesettingsCheck: Controls: [ '3449', '3453' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: redshift-cluster-maintenancesettings-check InputParameters: allowVersionUpgrade: 'true' Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_CLUSTER_MAINTENANCESETTINGS_CHECK Description: "MUST 12.4.4.C.02[CID:3449], SHOULD 12.4.4.C.06[CID:3453]| Product Security/Product Patching and Updating/Patching vulnerabilities in products" RedshiftClusterPublicAccessCheck: Controls: [ '3562', '3623', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: redshift-cluster-public-access-check Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..." RedshiftRequireTlsSsl: Controls: [ '2090', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: redshift-require-tls-ssl Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_REQUIRE_TLS_SSL Description: "MUST 17.1.55.C.02[CID:2090], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Information and Systems Protection and Enterprise systems security..." RestrictedSsh: Controls: [ '2726' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: restricted-ssh Scope: ComplianceResourceTypes: - AWS::EC2::SecurityGroup Source: Owner: AWS SourceIdentifier: INCOMING_SSH_DISABLED Description: "SHOULD 17.5.8.C.02[CID:2726]| Cryptography/Secure Shell/Automated remote access" RootAccountHardwareMfaEnabled: Controls: [ '1841', '6843', '6953', '7436', '7437' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: root-account-hardware-mfa-enabled Source: Owner: AWS SourceIdentifier: ROOT_ACCOUNT_HARDWARE_MFA_ENABLED Description: "SHOULD 16.1.35.C.02[CID:1841], SHOULD 16.4.31.C.02[CID:6843], SHOULD 16.7.34.C.02[CID:6953], MUST 23.3.19.C.01[CID:7436], MUST 23.3.19.C.01[CID:7437]| Access Control a..." RootAccountMfaEnabled: Controls: [ '1841', '7436', '7437' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: root-account-mfa-enabled Source: Owner: AWS SourceIdentifier: ROOT_ACCOUNT_MFA_ENABLED Description: "SHOULD 16.1.35.C.02[CID:1841], MUST 23.3.19.C.01[CID:7436], MUST 23.3.19.C.01[CID:7437]| Access Control and Passwords/Identification, Authentication and Passwords/Meth..." S3AccountLevelPublicAccessBlocksPeriodic: Controls: [ '3562', '4838', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-account-level-public-access-blocks-periodic Source: Owner: AWS SourceIdentifier: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS_PERIODIC Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 22.1.24.C.03[CID:4838], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Enterprise systems se..." S3BucketPublicReadProhibited: Controls: [ '4838' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-bucket-public-read-prohibited Scope: ComplianceResourceTypes: - AWS::S3::Bucket Source: Owner: AWS SourceIdentifier: S3_BUCKET_PUBLIC_READ_PROHIBITED Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access" S3BucketPublicWriteProhibited: Controls: [ '4838' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-bucket-public-write-prohibited Scope: ComplianceResourceTypes: - AWS::S3::Bucket Source: Owner: AWS SourceIdentifier: S3_BUCKET_PUBLIC_WRITE_PROHIBITED Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access" S3BucketServerSideEncryptionEnabled: Controls: [ '2082' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-bucket-server-side-encryption-enabled Scope: ComplianceResourceTypes: - AWS::S3::Bucket Source: Owner: AWS SourceIdentifier: S3_BUCKET_SERVER_SIDE_ENCRYPTION_ENABLED Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements" S3BucketSslRequestsOnly: Controls: [ '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-bucket-ssl-requests-only Scope: ComplianceResourceTypes: - AWS::S3::Bucket Source: Owner: AWS SourceIdentifier: S3_BUCKET_SSL_REQUESTS_ONLY Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access" SagemakerEndpointConfigurationKmsKeyConfigured: Controls: [ '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: sagemaker-endpoint-configuration-kms-key-configured Source: Owner: AWS SourceIdentifier: SAGEMAKER_ENDPOINT_CONFIGURATION_KMS_KEY_CONFIGURED Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access" SagemakerNotebookInstanceKmsKeyConfigured: Controls: [ '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: sagemaker-notebook-instance-kms-key-configured Source: Owner: AWS SourceIdentifier: SAGEMAKER_NOTEBOOK_INSTANCE_KMS_KEY_CONFIGURED Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access" SagemakerNotebookNoDirectInternetAccess: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: sagemaker-notebook-no-direct-internet-access Source: Owner: AWS SourceIdentifier: SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." SecretsmanagerUsingCmk: Controls: [ '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: secretsmanager-using-cmk Scope: ComplianceResourceTypes: - AWS::SecretsManager::Secret Source: Owner: AWS SourceIdentifier: SECRETSMANAGER_USING_CMK Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access" SecurityhubEnabled: Controls: [ '3875' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: securityhub-enabled Source: Owner: AWS SourceIdentifier: SECURITYHUB_ENABLED Description: "SHOULD 18.4.12.C.01[CID:3875]| Network security/Intrusion Detection and Prevention/Event management and correlation" SsmDocumentNotPublic: Controls: [ '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ssm-document-not-public Source: Owner: AWS SourceIdentifier: SSM_DOCUMENT_NOT_PUBLIC Description: "MUST 23.4.10.C.01[CID:7466]| Public Cloud Security/Data Protection in Public Cloud/Data accessibility" VpcDefaultSecurityGroupClosed: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: vpc-default-security-group-closed Scope: ComplianceResourceTypes: - AWS::EC2::SecurityGroup Source: Owner: AWS SourceIdentifier: VPC_DEFAULT_SECURITY_GROUP_CLOSED Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." VpcFlowLogsEnabled: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: vpc-flow-logs-enabled Source: Owner: AWS SourceIdentifier: VPC_FLOW_LOGS_ENABLED Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." VpcSgOpenOnlyToAuthorizedPorts: Controls: [ '3205' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: vpc-sg-open-only-to-authorized-ports InputParameters: authorizedTcpPorts: '443' Scope: ComplianceResourceTypes: - AWS::EC2::SecurityGroup Source: Owner: AWS SourceIdentifier: VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS Description: "SHOULD 18.1.13.C.02[CID:3205]| Network security/Network Management/Limiting network access" Wafv2LoggingEnabled: Controls: [ '2013', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: wafv2-logging-enabled Source: Owner: AWS SourceIdentifier: WAFV2_LOGGING_ENABLED Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..."
