Security Hub CSPM 中的 NIST SP 800-53 修订版 5 - Amazon Security Hub
为标准配置资源记录确定哪些控件适用于标准
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Security Hub CSPM 中的 NIST SP 800-53 修订版 5

NIST 专题出版物 800-53 修订版 5 (NIST SP 800-53 Rev. 5) 是由美国商务部下属机构美国国家标准与技术研究院 (NIST) 开发的网络安全和合规框架。此合规框架提供了一系列安全和隐私要求,用于保护信息系统和关键资源的机密性、完整性和可用性。美国联邦政府机构和承包商必须遵守这些要求,以保护其系统和组织。私营机构也可以自愿将这些要求作为降低网络安全风险的指导框架。有关该框架及其要求的更多信息,请参阅 NIST 计算机安全资源中心中的 NIST SP 800-53 Rev. 5

Amazon Security Hub CSPM 提供了支持一部分 NIST SP 800-53 修订版 5 要求的安全控件。这些控件会对某些 Amazon Web Services 服务和资源执行自动安全检查。要启用和管理这些控件,您可以将 NIST SP 800-53 修订版 5 框架作为 Security Hub CSPM 中的标准启用。请注意,控件不支持需要手动检查的 NIST SP 800-53 修订版 5 要求。

与其他框架不同,NIST SP 800-53 修订版 5 框架没有规定如何评估其要求。相反,该框架提供了指南。在 Security Hub CSPM 中,NIST SP 800-53 修订版 5 标准和控件代表了该服务对这些指南的理解。

为适用于标准的控件配置资源记录

为了优化覆盖范围和调查发现的准确性,在 Amazon Security Hub CSPM 中启用 NIST SP 800-53 修订版 5 标准之前,在 Amazon Config 中启用和配置资源记录非常重要。在配置资源记录时,还要确保为适用于标准的控件检查的所有 Amazon 资源类型启用它。这主要适用于具有变更已触发计划类型的控件。但是,某些具有定期计划类型的控件也需要资源记录。如果未正确启用或配置资源记录,Security Hub CSPM 可能无法评估适当的资源,也无法针对适用于标准的控件生成准确的调查发现。

有关 Security Hub CSPM 如何在 Amazon Config 中使用资源记录的信息,请参阅 为 Security Hub CSPM 启用和配置 Amazon Config。有关在 Amazon Config 中配置资源记录的信息,请参阅《Amazon Config 开发人员指南》中的 Working with the configuration recorder

下表指定了适用于 Security Hub CSPM 中的 NIST SP 800-53 修订版 5 标准的控件要记录的资源类型。

Amazon Web Services 服务 资源类型

Amazon API Gateway

AWS::ApiGateway::Stage, AWS::ApiGatewayV2::Stage

Amazon AppSync

AWS::AppSync::GraphQLApi

Amazon Backup

AWS::Backup::RecoveryPoint

Amazon Certificate Manager (ACM)

AWS::ACM::Certificate

Amazon CloudFormation

AWS::CloudFormation::Stack

Amazon CloudFront

AWS::CloudFront::Distribution

Amazon CloudWatch

AWS::CloudWatch::Alarm

Amazon CodeBuild

AWS::CodeBuild::Project

Amazon Database Migration Service (Amazon DMS)

AWS::DMS::Endpoint, AWS::DMS::ReplicationInstance, AWS::DMS::ReplicationTask

Amazon DynamoDB

AWS::DynamoDB::Table

Amazon Elastic Compute Cloud(Amazon EC2)

AWS::EC2::ClientVpnEndpoint, AWS::EC2::EIP, AWS::EC2::Instance, AWS::EC2::LaunchTemplate, AWS::EC2::NetworkAcl, AWS::EC2::NetworkInterface, AWS::EC2::SecurityGroup, AWS::EC2::Subnet, AWS::EC2::TransitGateway, AWS::EC2::VPNConnection, AWS::EC2::Volume

Amazon EC2 Auto Scaling

AWS::AutoScaling::AutoScalingGroup, AWS::AutoScaling::LaunchConfiguration

Amazon Elastic Container Registry(Amazon ECR)

AWS::ECR::Repository

Amazon Elastic Container Service(Amazon ECS)

AWS::ECS::Cluster, AWS::ECS::Service, AWS::ECS::TaskDefinition

Amazon Elastic File System(Amazon EFS)

AWS::EFS::AccessPoint

Amazon Elastic Kubernetes Service(Amazon EKS)

AWS::EKS::Cluster

Amazon Elastic Beanstalk

AWS::ElasticBeanstalk::Environment

Elastic Load Balancing

AWS::ElasticLoadBalancing::LoadBalancer, AWS::ElasticLoadBalancingV2::Listener, AWS::ElasticLoadBalancingV2::LoadBalancer

Amazon ElasticSearch

AWS::Elasticsearch::Domain

Amazon EMR

AWS::EMR::SecurityConfiguration

Amazon EventBridge

AWS::Events::Endpoint, AWS::Events::EventBus

Amazon Glue

AWS::Glue::Job

Amazon Identity and Access Management(IAM)

AWS::IAM::Group, AWS::IAM::Policy, AWS::IAM::Role, AWS::IAM::User

Amazon Key Management Service (Amazon KMS)

AWS::KMS::Alias, AWS::KMS::Key

Amazon Kinesis

AWS::Kinesis::Stream

Amazon Lambda

AWS::Lambda::Function

Amazon Managed Streaming for Apache Kafka (Amazon MSK)

AWS::MSK::Cluster

Amazon MQ

AWS::AmazonMQ::Broker

Amazon Network Firewall

AWS::NetworkFirewall::Firewall, AWS::NetworkFirewall::FirewallPolicy, AWS::NetworkFirewall::RuleGroup

Amazon OpenSearch Service

AWS::OpenSearch::Domain

Amazon Relational Database Service (Amazon RDS)

AWS::RDS::DBCluster, AWS::RDS::DBClusterSnapshot, AWS::RDS::DBInstance, AWS::RDS::DBSnapshot, AWS::RDS::EventSubscription

Amazon Redshift

AWS::Redshift::Cluster, AWS::Redshift::ClusterSubnetGroup

Amazon Route 53

AWS::Route53::HostedZone

Amazon Simple Storage Service(Amazon S3)

AWS::S3::AccessPoint, AWS::S3::AccountPublicAccessBlock, AWS::S3::Bucket

Amazon Service Catalog

AWS::ServiceCatalog::Portfolio

Amazon Simple Notification Service (Amazon SNS)

AWS::SNS::Topic

Amazon Simple Queue Service(Amazon SQS)

AWS::SQS::Queue
Amazon EC2 Systems Manager (SSM)

AWS::SSM::AssociationCompliance, AWS::SSM::ManagedInstanceInventory, AWS::SSM::PatchCompliance

Amazon SageMaker AI

AWS::SageMaker::NotebookInstance

Amazon Secrets Manager

AWS::SecretsManager::Secret

Amazon Transfer Family

AWS::Transfer::Connector

Amazon WAF

AWS::WAF::Rule, AWS::WAF::RuleGroup, AWS::WAF::WebACL, AWS::WAFRegional::Rule, AWS::WAFRegional::RuleGroup, AWS::WAFRegional::WebACL, AWS::WAFv2::RuleGroup, AWS::WAFv2::WebACL

确定哪些控件适用于标准

以下列表指定了支持 NIST SP 800-53 修订版 5 要求并适用于 Amazon Security Hub CSPM 中的 NIST SP 800-53 修订版 5 标准的控件。有关控件支持的特定要求的详细信息,请选择该控件。然后参阅控件详细信息中的相关要求字段。此字段指定控件支持的每个 NIST 要求。如果该字段未指定特定 NIST 要求,则控件不支持该要求。