Security Hub CSPM 中的 NIST SP 800-53 修订版 5

NIST 特别出版物 800-53 修订版 5（NIST SP 800-53 Rev.5）是由隶属于美国商务部的美国国家标准与技术研究所（NIST）开发的网络安全与合规框架。该合规框架提供了一系列安全和隐私要求，用于保护信息系统和关键资源的机密性、完整性和可用性。美国联邦政府机构和承包商必须遵守这些要求以保护其系统和组织。私人组织也可以自愿使用这些要求作为降低网络安全风险的指导框架。有关该框架及其要求的更多信息，请参阅 NIST 计算机安全资源中心的 NIST SP 800-53 Rev. 5。

Amazon Security Hub 云安全态势管理 (CSPM) 提供的安全控制措施支持 NIST SP 800-53 修订版 5 的部分要求。这些控件会对某些 Amazon Web Services 服务资源执行自动安全检查。要启用和管理这些控件，您可以在 Security Hub CSPM 中启用 NIST SP 800-53 修订版 5 框架作为标准配置。请注意，这些控件不支持需要手动检查的 NIST SP 800-53 修订版 5 要求。

与其他框架不同，NIST SP 800-53 修订版 5 框架并未规定如何评估其要求。相反，该框架提供了指导方针。在 Security Hub CSPM 中，NIST SP 800-53 修订版 5 标准和控件代表了该服务对这些指南的理解。

为适用于标准的控件配置资源记录

为了优化覆盖范围和结果的准确性，在 Security Hub 云 Amazon 安全态势管理 (CSPM) 中启用 NIST SP 800-53 修订版 5 标准 Amazon Config 之前，请务必启用和配置资源记录。配置资源记录时，还要确保为所有类型的 Amazon 资源启用该功能，这些资源由适用于标准的控件进行检查。这主要适用于具有变更触发计划类型的控件。但是，某些具有定期计划类型的控件也需要资源记录。如果未正确启用或配置资源记录，Security Hub CSPM 可能无法评估适当的资源，也无法为适用于该标准的控件生成准确的结果。

有关 Security Hub CSPM 如何在中使用资源记录的信息 Amazon Config，请参阅。为 Security Hub CSPM 启用和配置 Amazon Config有关在中配置资源记录的信息 Amazon Config，请参阅《Amazon Config 开发人员指南》中的使用配置记录器。

下表指定了在 Security Hub CSPM 中适用于 NIST SP 800-53 修订版 5 标准的控件要记录的资源类型。

Amazon Web Services 服务	资源类型
Amazon API Gateway	`AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage`
Amazon AppSync	`AWS::AppSync::GraphQLApi`
Amazon Backup	`AWS::Backup::RecoveryPoint`
Amazon Certificate Manager (ACM)	`AWS::ACM::Certificate`
Amazon CloudFormation	`AWS::CloudFormation::Stack`
Amazon CloudFront	`AWS::CloudFront::Distribution`
Amazon CloudWatch	`AWS::CloudWatch::Alarm`
Amazon CodeBuild	`AWS::CodeBuild::Project`
Amazon Database Migration Service (Amazon DMS)	`AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask`
Amazon DynamoDB	`AWS::DynamoDB::Table`
亚马逊弹性计算云（亚马逊 EC2）	`AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume`
Amazon A EC2 uto Scaling	`AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration`
Amazon Elastic Container Registry（Amazon ECR）	`AWS::ECR::Repository`
Amazon Elastic Container Service（Amazon ECS）	`AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`
Amazon Elastic File System（Amazon EFS）	`AWS::EFS::AccessPoint`
Amazon Elastic Kubernetes Service（Amazon EKS）	`AWS::EKS::Cluster`
Amazon Elastic Beanstalk	`AWS::ElasticBeanstalk::Environment`
Elastic Load Balancing	`AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer`
Amazon ElasticSearch	`AWS::Elasticsearch::Domain`
Amazon EMR	`AWS::EMR::SecurityConfiguration`
Amazon EventBridge	`AWS::Events::Endpoint`, `AWS::Events::EventBus`
Amazon Glue	`AWS::Glue::Job`
Amazon Identity and Access Management (IAM)	`AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User`
Amazon Key Management Service (Amazon KMS)	`AWS::KMS::Alias`, `AWS::KMS::Key`
Amazon Kinesis	`AWS::Kinesis::Stream`
Amazon Lambda	`AWS::Lambda::Function`
Amazon Managed Streaming for Apache Kafka (Amazon MSK)	`AWS::MSK::Cluster`
Amazon MQ	`AWS::AmazonMQ::Broker`
Amazon Network Firewall	`AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup`
亚马逊 OpenSearch 服务	`AWS::OpenSearch::Domain`
Amazon Relational Database Service (Amazon RDS)	`AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription`
Amazon Redshift	`AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup`
Amazon Route 53	`AWS::Route53::HostedZone`
Amazon Simple Storage Service（Amazon S3）	`AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`
Amazon Service Catalog	`AWS::ServiceCatalog::Portfolio`
Amazon Simple Notiﬁcation Service (Amazon SNS)	`AWS::SNS::Topic`
Amazon Simple Queue Service(Amazon SQS)	`AWS::SQS::Queue`
亚马逊 S EC2 ystems Manager (SSM)	`AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance`
亚马逊 SageMaker AI	`AWS::SageMaker::NotebookInstance`
Amazon Secrets Manager	`AWS::SecretsManager::Secret`
Amazon Transfer Family	`AWS::Transfer::Connector`
Amazon WAF	`AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL`

确定哪些控件适用于该标准

以下列表列出了支持 NIST SP 800-53 修订版 5 要求并适用于 Security Hub Amazon 云安全状态管理 (CSPM) 中的 NIST SP 800-53 修订版 5 标准的控件。有关控件支持的特定要求的详细信息，请选择该控件。然后参阅控件详细信息中的 “相关要求” 字段。此字段指定控件支持的每个 NIST 要求。如果该字段未指定特定的 NIST 要求，则该控件不支持该要求。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

独联体 Amazon 基金会基准

NIST SP 800-171 修订版 2