本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
美国国家标准与技术研究院 (NIST) SP 800-53 Rev. 5
NIST SP 800-53 Rev. 5 是由美国商务部下属机构美国国家标准与技术研究院 (NIST) 开发的网络安全和合规框架。此合规性框架可帮助您保护信息系统和关键资源的可用性、机密性和完整性。美国联邦政府机构和承包商必须遵守 NIST SP 800-53 来保护其系统,但私营公司可以自愿将其用作降低网络安全风险的指导框架。
Security Hub 提供支持选定 NIST SP 800-53 要求的控件。这些控件通过自动安全检查进行评估。Security Hub 控件不支持需要手动检查的 NIST SP 800-53 要求。此外,Security Hub 控件仅支持自动化 NIST SP 800-53 要求,这些要求在每个控件的详细信息中列为相关要求。从以下列表中选择一个控件以查看其详细信息。Security Hub 目前不支持控件细节中未提及的相关要求。
与其他框架不同,NIST SP 800-53 没有规定如何评估其需求。相反,该框架提供了指导方针,Security Hub NIST SP 800-53 控件代表了服务对它们的理解。
如果您使用与 Security Hub 的集成 Amazon Organizations 来集中管理多个帐户,并且想要在所有账户中批量启用 NIST SP 800-53,则可以从管理员帐户运行 Sec urity Hub 多账户脚本
有关 NIST SP 800-53 Rev. 5 的更多信息,请参阅 NIST
适用于 NNIST SP 800-53 Rev. 5 的控件
[Account.1] 应为以下人员提供安全联系信息 Amazon Web Services 账户
[账户.2] Amazon Web Services 账户 应该是 Amazon Organizations 组织的一部分
[ACM.1] 导入的证书和 ACM 颁发的证书应在指定的时间段后续订
[ApigateWay.1] 应启用 API Gateway REST 和 WebSocket API 执行日志记录
[APIGateway.2] 应将 API Gateway REST API 阶段配置为使用 SSL 证书进行后端身份验证
[APIGateway.3] API Gateway REST API 阶段应启用 Amazon X-Ray 追踪功能
[APIGateway.4] API Gateway 应与 WAF Web ACL 关联
[APIGateway.5] API Gateway REST API 缓存数据应进行静态加密
[APIGateway.8] API Gateway 路由应指定授权类型
[APIGateway.9] 应为 API Gateway V2 阶段配置访问日志
[AppSync.5] 不应使用 API Amazon AppSync 密钥对 GraphQL API 进行身份验证
[AutoScaling.1] 与负载均衡器关联的 Auto Scaling 组应使用 ELB 运行状况检查
[AutoScaling.2] Amazon EC2 Auto Scaling 组应覆盖多个可用区
[AutoScaling.3] Auto Scaling 组启动配置应将 EC2 实例配置为需要实例元数据服务版本 2 (imdsv2)
[Autoscaling.5] 使用自动扩缩组启动配置启动的 Amazon EC2 实例不应具有公有 IP 地址
[AutoScaling.6] Auto Scaling 组应在多个可用区域中使用多种实例类型
[AutoScaling.9] 亚马逊 EC2 Auto Scaling 小组应使用亚马逊 EC2 启动模板
[Backup.1] 应在静态状态下对 Amazon Backup 恢复点进行加密
[CloudFront.1] CloudFront 发行版应配置默认根对象
[CloudFront.3] CloudFront 发行版在传输过程中应要求加密
[CloudFront.4] CloudFront 发行版应配置源站故障转移
[CloudFront.5] CloudFront 发行版应启用日志记录
[CloudFront.6] CloudFront 发行版应启用 WAF
[CloudFront.7] CloudFront 发行版应使用自定义 SSL/TLS 证书
[CloudFront.8] CloudFront 发行版应使用 SNI 来处理 HTTPS 请求
[CloudFront.9] CloudFront 发行版应加密发往自定义来源的流量
[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议
[CloudFront.12] CloudFront 发行版不应指向不存在的 S3 来源
[CloudTrail.1] CloudTrail 应启用并配置至少一条包含读写管理事件的多区域跟踪
[CloudTrail.2] CloudTrail 应该启用静态加密
[CloudTrail.4] 应启用 CloudTrail 日志文件验证
[CloudTrail.5] 应将 CloudTrail 跟踪与 Amazon CloudWatch 日志集成
[CloudWatch.15] CloudWatch 警报应配置指定操作
[CloudWatch.16] CloudWatch 日志组应在指定的时间段内保留
[CloudWatch.17] 应激 CloudWatch 活警报动作
[CodeBuild.1] CodeBuild Bitbucket 源存储库网址不应包含敏感凭证
[CodeBuild.2] CodeBuild 项目环境变量不应包含明文凭证
[CodeBuild.3] 应 CodeBuild 对 S3 日志进行加密
[CodeBuild.4] CodeBuild 项目环境应该有一个日志持续时间 Amazon Config
Amazon Config 应启用 [Config.1] 并使用服务相关角色进行资源记录
[DataFirehose.1] Firehose 传输流应在静态状态下进行加密
[DMS.1] Database Migration Service 复制实例不应公开
[DMS.7] 目标数据库的 DMS 复制任务应启用日志记录
[DMS.10] Neptune 数据库的 DMS 终端节点应启用 IAM 授权
[DMS.11] MongoDB 的 DMS 端点应启用身份验证机制
[DMS.12] 适用于 Redis 的 DMS 终端节点应启用 TLS
[DocumentDB.1] Amazon DocumentDB 集群应进行静态加密
[DocumentDB.2] Amazon DocumentDB 集群应有足够的备份保留期
[DocumentDB.3] Amazon DocumentDB 手动集群快照不应公开
[documentDB.4] Amazon DocumentDB 集群应将审计日志发布到日志 CloudWatch
[DocumentDB.5] Amazon DocumentDB 集群应启用删除保护
[DynamoDB.1] DynamoDB 表应根据需求自动扩展容量
[DynamoDB.2] DynamoDB 表应该启用恢复功能 point-in-time
[DynamoDB.3] DynamoDB Accelerator (DAX) 集群应在静态状态下进行加密
[DynamoDB.4] 备份计划中应有 DynamoDB 表
[DynamodB.6] DynamoDB 表应启用删除保护
[DynamodB.7] DynamoDB 加速器集群应在传输过程中进行加密
[EC2.3] 挂载的 Amazon EBS 卷应进行静态加密
[EC2.6] 应在所有 VPC 中启用 VPC 流日志记录
[EC2.8] EC2 实例应使用实例元数据服务版本 2 (IMDSv2)
[EC2.9] Amazon EC2 实例不应拥有公有 IPv4 地址
[EC2.10] 应将 Amazon EC2 配置为使用为 Amazon EC2 服务创建的 VPC 端点
[EC2.12] 应删除未使用的 Amazon EC2 EIP
[EC2.13] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量
[EC2.15] Amazon EC2 子网不应自动分配公有 IP 地址
[EC2.17] Amazon EC2 实例不应使用多个 ENI
[EC2.20] 用于点对 Amazon 点 VPN 连接的两个 VPN 隧道都应处于开启状态
[EC2.21] 网络 ACL 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389
[EC2.23] Amazon EC2 中转网关不应自动接受 VPC 附件请求
[EC2.24] 不应使用 Amazon EC2 半虚拟化实例类型
[EC2.25] Amazon EC2 启动模板不应为网络接口分配公有 IP
[EC2.51] EC2 Client VPN 端点应启用客户端连接日志记录
[ECS.1] Amazon ECS 任务定义应具有安全的联网模式和用户定义。
[ECS.5] ECS 容器应限制为仅对根文件系统具有只读访问权限。
[ECS.10] ECS Fargate 服务应在最新的 Fargate 平台版本上运行
[EFS.1] 应将弹性文件系统配置为使用以下方法加密静态文件数据 Amazon KMS
[EKS.2] EKS 集群应在支持的 Kubernetes 版本上运行
[EKS.3] EKS 集群应使用加密的 Kubernetes 密钥
[ElastiCache.1] ElastiCache Redis 集群应启用自动备份
[ElastiCache.2] ElastiCache 对于 Redis 缓存集群,应启用自动次要版本升级
[ElastiCache.3] ElastiCache 对于 Redis 复制组,应启用自动故障转移
[ElastiCache.4] ElastiCache 对于 Redis,复制组应进行静态加密
[ElastiCache.5] ElastiCache 对于 Redis,复制组应在传输过程中进行加密
[ElastiCache.6] ElastiCache 对于 6.0 版本之前的 Redis 复制组,应使用 Redis 身份验证
[ElastiCache.7] ElastiCache 群集不应使用默认子网组
[ElasticBeanstalk.1] Elastic Beanstalk 环境应启用增强型运行状况报告
[ElasticBeanstalk.2] 应启用 Elastic Beanstalk 托管平台更新
[ELB.1] 应用程序负载均衡器应配置为将所有 HTTP 请求重定向到 HTTPS
[ELB.2] 带有 SSL/HTTPS 侦听器的经典负载均衡器应使用由提供的证书 Amazon Certificate Manager
[ELB.3] 应将经典负载均衡器侦听器配置为 HTTPS 或 TLS 终止
[ELB.4] 应将应用程序负载均衡器配置为删除 http 标头
[ELB.6] 应用程序、网关和网络负载均衡器应启用删除保护
[ELB.8] 带有 SSL 侦听器的经典负载均衡器应使用持续时间较长的预定义安全策略 Amazon Config
[ELB.12] 应用程序负载均衡器应配置为防御性或最严格的异步缓解模式
[ELB.13] 应用程序、网络和网关负载均衡器应跨越多个可用区
[ELB.14] 经典负载均衡器应配置为防御性或最严格的异步缓解模式
[ELB.16] 应用程序负载均衡器应与 Web ACL 关联 Amazon WAF
[EMR.1] Amazon EMR 集群主节点不应有公有 IP 地址
[EMR.2] 应启用 Amazon EMR 屏蔽公共访问权限设置
[ES.2] Elasticsearch 域名不可供公共访问
[ES.3] Elasticsearch 域应加密节点之间发送的数据
[ES.4] 应启用 Elasticsearch 域错误日志记录到 CloudWatch 日志
[ES.5] Elasticsearch 域名应该启用审核日志
[ES.6] Elasticsearch 域应拥有至少三个数据节点
[ES.7] 应将 Elasticsearch 域配置为至少三个专用的主节点
[ES.8] 应使用最新的 TLS 安全策略对与 Elasticsearch 域的连接进行加密
[EventBridge.3] EventBridge 自定义事件总线应附加基于资源的策略
[EventBridge.4] EventBridge 全局端点应启用事件复制
[fsx.1] 应将适用于 OpenZFS 的 FSX 文件系统配置为将标签复制到备份和卷
[fsx.2] 应将适用于 Lustre 文件系统的 FSx 配置为将标签复制到备份
[IAM.1] IAM policy 不应允许完整的“*”管理权限
[IAM.3] IAM 用户访问密钥应每 90 天或更短时间轮换一次
[IAM.5] 应为拥有控制台密码的所有 IAM 用户启用 MFA
[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务执行通配符操作
[Kinesis.1] Kinesis 直播应在静态状态下进行加密
[KMS.1] IAM 客户托管策略不应允许对所有 KMS 密钥执行解密操作
[KMS.2] IAM 主体不应有允许对所有 KMS 密钥进行解密操作的 IAM 内联策略
Amazon KMS keys 不应无意中删除 [KMS.3]
[Lambda.2] Lambda 函数应使用受支持的运行时系统
[Lambda.5] VPC Lambda 函数应在多个可用区内运行
[MQ.2] ActiveMQ 代理应将审计日志流式传输到 CloudWatch
[MQ.5] ActiveMQ 代理应使用主动/备用部署模式
[Neptune.1] 应对 Neptune 数据库集群进行静态加密
[Neptune.2] Neptune 数据库集群应将审计日志发布到日志 CloudWatch
[Neptune.3] Neptune 数据库集群快照不应公开
[Neptune.4] Neptune 数据库集群应启用删除保护
[Neptune.5] Neptune 数据库集群应启用自动备份
[Neptune.6] 应在静态状态下对 Neptune 数据库集群快照进行加密
[Neptune.7] Neptune 数据库集群应启用 IAM 数据库身份验证
[Neptune.8] 应将 Neptune 数据库集群配置为将标签复制到快照
[Neptune.9] Neptune 数据库集群应跨多个可用区部署
[NetworkFirewall.1] Network Firewall 防火墙应部署在多个可用区域中
[NetworkFirewall.2] 应启用 Network Firewall 日志记录
[NetworkFirewall.3] Network Firewall 策略应至少关联一个规则组
[NetworkFirewall.4] Network Firewall 策略的默认无状态操作应为丢弃或转发已满数据包
[NetworkFirewall.5] 对于分段的数据包,Network Firewall 策略的默认无状态操作应为丢弃或转发
[NetworkFirewall.6] 无状态 Network Firewall 规则组不应为空
[NetworkFirewall.9] Network Firewall 防火墙应启用删除保护
[Opensearch.1] OpenSearch 域名应启用静态加密
[Opensearch.2] OpenSearch 域名不应向公众开放
[Opensearch.3] OpenSearch 域应加密节点之间发送的数据
[Opensearch.4] OpenSearch 应该启用记录到 CloudWatch 日志的域名错误
[Opensearch.5] OpenSearch 域应启用审核日志
[Opensearch.6] OpenSearch 域名应至少有三个数据节点
[Opensearch.7] OpenSearch 域名应启用精细的访问控制
[Opensearch.8] 应使用最新的 TLS 安全策略对与 OpenSearch 域的连接进行加密
[Opensearch.10] OpenSearch 域名应安装最新的软件更新
[Opensearch.11] OpenSearch 域名应至少有三个专用的主节点
[PCA.1] 应禁用 Amazon Private CA 根证书颁发机构
[RDS.2] RDS 数据库实例应禁止公共访问,具体取决于持续时间 PubliclyAccessible Amazon Config
[RDS.9] RDS 数据库实例应将日志发布到日志 CloudWatch
[RDS.14] Amazon Aurora 集群应启用回溯功能
[RDS.16] 应将 RDS 数据库集群配置为将标签复制到快照
[RDS.17] 应将 RDS 数据库实例配置为将标签复制到快照
[RDS.19] 应为关键集群事件配置现有 RDS 事件通知订阅
[RDS.20] 应为关键数据库实例事件配置现有 RDS 事件通知订阅
[RDS.21] 应为关键数据库参数组事件配置 RDS 事件通知订阅
[RDS.22] 应为关键数据库安全组事件配置 RDS 事件通知订阅
[RDS.24] RDS 数据库集群应使用自定义管理员用户名
[RDS.25] RDS 数据库实例应使用自定义管理员用户名
[RDS.34] Aurora MySQL 数据库集群应将审计日志发布到日志 CloudWatch
[Redshift.1] Amazon Redshift 集群应禁止公共访问
[Redshift.2] 与 Amazon Redshift 集群的连接应在传输过程中进行加密
[Redshift.3] Amazon Redshift 集群应启用自动快照
[Redshift.4] Amazon Redshift 集群应启用审核日志记录
[Redshift.6] Amazon Redshift 应该启用自动升级到主要版本的功能
[Redshift.7] Redshift 集群应使用增强型 VPC 路由
[Redshift.8] Amazon Redshift 集群不应使用默认的管理员用户名
[Redshift.9] Redshift 集群不应使用默认的数据库名称
[Redshift.10] Redshift 集群应在静态状态下进行加密
[Route53.2] Route 53 公有托管区域应记录 DNS 查询
[S3.6] S3 通用存储桶策略应限制对其他存储桶的访问 Amazon Web Services 账户
[S3.10] 启用版本控制的 S3 通用存储桶应具有生命周期配置
[S3.12] 不应使用 ACL 来管理用户对 S3 通用存储桶的访问权限
[S3.17] S3 通用存储桶应使用静态加密 Amazon KMS keys
[SageMaker.1] Amazon SageMaker 笔记本实例不应直接访问互联网
[SageMaker.2] SageMaker 笔记本实例应在自定义 VPC 中启动
[SageMaker.3] 用户不应拥有 SageMaker 笔记本实例的 root 访问权限
[SageMaker.4] SageMaker 端点生产变体的初始实例数应大于 1
[SecretsManager.1] Secrets Manager 密钥应启用自动轮换
[SecretsManager.2] 配置了自动轮换功能的 Secrets Manager 密钥应成功轮换
[SecretsManager.3] 移除未使用的 Secrets Manager 密钥
[SecretsManager.4] Secrets Manager 密钥应在指定的天数内轮换
[ServiceCatalog.1] Service Catalog 产品组合只能在 Amazon 组织内部共享
[SNS.1] SNS 主题应使用以下方法进行静态加密 Amazon KMS
[SQS.1] 应对 Amazon SQS 队列进行静态加密
[SSM.1] Amazon EC2 实例应由以下人员管理 Amazon Systems Manager
[SSM.2] 由 Systems Manager 管理的 Amazon EC2 实例在安装补丁后应具有 COMPLIANT 的补丁合规性状态
[SSM.3] 由 Systems Manager 管理的 Amazon EC2 实例的关联合规状态应为 COMPLIANT
[Transfer.2] Transfer Family 服务器不应使用 FTP 协议进行端点连接
[WAF.1] 应启用 Amazon WAF 经典全局 Web ACL 日志记录
[WAF.2] Amazon WAF 经典区域规则应至少有一个条件
[WAF.3] Amazon WAF 经典区域规则组应至少有一条规则
[WAF.4] Amazon WAF 经典区域性 Web ACL 应至少有一个规则或规则组
[WAF.6] Amazon WAF 经典全局规则应至少有一个条件
[WAF.7] Amazon WAF 经典全局规则组应至少有一条规则
[WAF.8] Amazon WAF 经典全局 Web ACL 应至少有一个规则或规则组
[WAF.10] Amazon WAF Web ACL 应至少有一个规则或规则组
[WAF.11] 应启 Amazon WAF 用 Web ACL 日志记录
[WAF.12] Amazon WAF 规则应启用指标 CloudWatch