Security Hub CSPM 的标准参考 - Amazon Security Hub
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Security Hub CSPM 的标准参考

在 Amazon Security Hub 云安全态势管理 (CSPM) 中,安全标准是一组基于监管框架、行业最佳实践或公司政策的要求。Security Hub CSPM 将这些要求映射到控件,并对控件进行安全检查,以评估是否符合标准的要求。每个标准都包含多个控件。

Security Hub CSPM 目前支持以下标准:

  • Amazon 基础安全最佳实践 — 该标准由 Amazon 行业专业人士制定,汇编了适用于任何行业或规模的组织的安全最佳实践。它提供了一组控件,用于检测您的 Amazon Web Services 账户 和资源何时偏离了安全最佳实践。它还提供了有关如何改善和维护安全状况的规范性指导。

  • Amazon 资源标记 — 该标准由 Security Hub CSPM 开发,可以帮助您确定您的 Amazon 资源是否有标签。标签是用作资源元数据的键值对。 Amazon 标签可以帮助您识别、分类、管理和搜索 Amazon 资源。例如,您可以使用标签按用途、所有者或环境对资源进行分类。

  • CIS Amazon 基金会基准 — 该标准由互联网安全中心 (CIS) 开发,提供了以下方面的安全配置指南 Amazon。它为一部分和资源指定了一套安全配置指南 Amazon Web Services 服务 和最佳实践,重点是基础设置、可测试设置和架构不可知设置。指导方针包括明确、 step-by-step执行和评估程序。

  • NIST SP 800-53 修订版 5 — 该标准符合美国国家标准与技术研究院 (NIST) 关于保护信息系统和关键资源的机密性、完整性和可用性的要求。相关框架通常适用于美国联邦机构或与美国联邦机构或信息系统合作的组织。但是,私人组织也可以将这些要求用作指导框架。

  • NIST SP 800-171 修订版 2 — 该标准符合 NIST 的安全建议和要求,以保护不属于美国联邦政府的系统和组织中的受控非机密信息 (CUI) 的机密性。CUI 是不符合政府分类标准但被视为敏感的信息,由美国联邦政府或其他实体代表美国联邦政府创建或拥有。

  • PCI DSS — 该标准符合 PCI 安全标准委员会 (SSC) 定义的支付卡行业数据安全标准 (PCI DSS) 合规框架。该框架为安全处理信用卡和借记卡信息提供了一套规则和指南。该框架通常适用于存储、处理或传输持卡人数据的组织。

  • 服务管理标准, Amazon Control Tower— 该标准可帮助您配置由提供的主动控制 Amazon Control Tower 以及由 Security Hub CSPM 提供的侦探控制。 Amazon Control Tower 遵循规范性最佳实践,提供了一种设置和管理 Amazon 多账户环境的简单方法。通过为您的 Amazon 环境启用主动控制和侦测控制,您可以在不同的开发阶段增强您的安全状况。

Security Hub CSPM 标准和控制措施并不能保证遵守任何监管框架或审计。相反,它们提供了一种评估和监控您的 Amazon Web Services 账户 和资源状态的方法。我们建议启用与您的业务需求、行业或用例相关的每项标准。

单个控件可以应用于多个标准。如果您启用多个标准,我们建议您同时启用合并控制结果。如果这样做,Security Hub CSPM 会为每个控件生成一个查找结果,即使该控件适用于多个标准也是如此。如果您不启用合并控制结果,Security Hub CSPM 会为控件适用的每个已启用标准生成单独的调查结果。例如,如果您启用了两个标准,并且一个控制适用于这两个标准,则您会收到两个针对该控件的独立结果,每个标准对应一个。如果启用合并控制结果,则只会收到该控件的一个调查结果。有关更多信息,请参阅 整合的控件调查发现