本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Security Hub CSPM 中的 NIST SP 800-53 修订版 5
NIST 特别出版物 800-53 修订版 5(NIST SP 800-53 Rev.5)是由隶属于美国商务部的美国国家标准与技术研究所(NIST)开发的网络安全与合规框架。该合规框架提供了一系列安全和隐私要求,用于保护信息系统和关键资源的机密性、完整性和可用性。美国联邦政府机构和承包商必须遵守这些要求以保护其系统和组织。私人组织也可以自愿使用这些要求作为降低网络安全风险的指导框架。有关该框架及其要求的更多信息,请参阅 NIST 计算机安全资源中心的 NIST SP 800-53 Rev. 5。
Amazon Security Hub 云安全态势管理 (CSPM) 提供的安全控制措施支持 NIST SP 800-53 修订版 5 的部分要求。这些控件会对某些 Amazon Web Services 服务 资源执行自动安全检查。要启用和管理这些控件,您可以在 Security Hub CSPM 中启用 NIST SP 800-53 修订版 5 框架作为标准配置。请注意,这些控件不支持需要手动检查的 NIST SP 800-53 修订版 5 要求。
与其他框架不同,NIST SP 800-53 修订版 5 框架并未规定如何评估其要求。相反,该框架提供了指导方针。在 Security Hub CSPM 中,NIST SP 800-53 修订版 5 标准和控件代表了该服务对这些指南的理解。
为适用于标准的控件配置资源记录
为了优化覆盖范围和结果的准确性,在 Security Hub 云 Amazon 安全态势管理 (CSPM) 中启用 NIST SP 800-53 修订版 5 标准 Amazon Config 之前,请务必启用和配置资源记录。配置资源记录时,还要确保为所有类型的 Amazon 资源启用该功能,这些资源由适用于标准的控件进行检查。这主要适用于具有变更触发计划类型的控件。但是,某些具有定期计划类型的控件也需要资源记录。如果未正确启用或配置资源记录,Security Hub CSPM 可能无法评估适当的资源,也无法为适用于该标准的控件生成准确的结果。
有关 Security Hub CSPM 如何在中使用资源记录的信息 Amazon Config,请参阅。为 Security Hub CSPM 启用和配置 Amazon Config有关在中配置资源记录的信息 Amazon Config,请参阅《Amazon Config 开发人员指南》中的使用配置记录器。
下表指定了在 Security Hub CSPM 中适用于 NIST SP 800-53 修订版 5 标准的控件要记录的资源类型。
Amazon Web Services 服务 | 资源类型 |
---|---|
Amazon API Gateway |
|
Amazon AppSync |
|
Amazon Backup |
|
Amazon Certificate Manager (ACM) |
|
Amazon CloudFormation |
|
Amazon CloudFront |
|
Amazon CloudWatch |
|
Amazon CodeBuild |
|
Amazon Database Migration Service (Amazon DMS) |
|
Amazon DynamoDB |
|
亚马逊弹性计算云(亚马逊 EC2) |
|
Amazon A EC2 uto Scaling |
|
Amazon Elastic Container Registry(Amazon ECR) |
|
Amazon Elastic Container Service(Amazon ECS) |
|
Amazon Elastic File System(Amazon EFS) |
|
Amazon Elastic Kubernetes Service(Amazon EKS) |
|
Amazon Elastic Beanstalk |
|
Elastic Load Balancing |
|
Amazon ElasticSearch |
|
Amazon EMR |
|
Amazon EventBridge |
|
Amazon Glue |
|
Amazon Identity and Access Management (IAM) |
|
Amazon Key Management Service (Amazon KMS) |
|
Amazon Kinesis |
|
Amazon Lambda |
|
Amazon Managed Streaming for Apache Kafka (Amazon MSK) |
|
Amazon MQ |
|
Amazon Network Firewall |
|
亚马逊 OpenSearch 服务 |
|
Amazon Relational Database Service (Amazon RDS) |
|
Amazon Redshift |
|
Amazon Route 53 |
|
Amazon Simple Storage Service(Amazon S3) |
|
Amazon Service Catalog |
|
Amazon Simple Notification Service (Amazon SNS) |
|
Amazon Simple Queue Service(Amazon SQS) |
|
亚马逊 S EC2 ystems Manager (SSM) |
|
亚马逊 SageMaker AI |
|
Amazon Secrets Manager |
|
Amazon Transfer Family |
|
Amazon WAF |
|
确定哪些控件适用于该标准
以下列表列出了支持 NIST SP 800-53 修订版 5 要求并适用于 Security Hub Amazon 云安全状态管理 (CSPM) 中的 NIST SP 800-53 修订版 5 标准的控件。有关控件支持的特定要求的详细信息,请选择该控件。然后参阅控件详细信息中的 “相关要求” 字段。此字段指定控件支持的每个 NIST 要求。如果该字段未指定特定的 NIST 要求,则该控件不支持该要求。
-
[账户.2] Amazon Web Services 账户 应该是 Amazon Organizations 组织的一部分
-
[APIGateway.2] 应将 API Gateway REST API 阶段配置为使用 SSL 证书进行后端身份验证
-
[AppSync.5] 不应使用 API Amazon AppSync 密 APIs 钥对 GraphQL 进行身份验证
-
[AutoScaling.3] Auto Scaling 组启动配置应将 EC2 实例配置为需要实例元数据服务版本 2 (IMDSv2)
-
[Autoscaling.5] 使用 Auto Scaling 组启动配置启动的 EC2 亚马逊实例不应具有公有 IP 地址
-
[CloudTrail.10] CloudTrail 湖泊事件数据存储应使用客户托管进行加密 Amazon KMS keys
-
[ElastiCache.6] ElastiCache (Redis OSS)早期版本的复制组应启用 Redis OSS 身份验证
-
[ELB.2] 带有 SSL/HTTPS 侦听器的经典负载均衡器应使用由提供的证书 Amazon Certificate Manager
-
[RedshiftServerless.4] Redshift 无服务器命名空间应使用客户托管进行加密 Amazon KMS keys
-
[SSM.2] 由 Systems Manager 管理的 Amazon EC2 实例在安装补丁后应具有 COMPLIANT 的补丁合规性状态
-
[SSM.3] 由 Systems Manager 管理的 Amazon EC2 实例的关联合规性的状态应为 COMPLIANT