Security Hub CSPM 中的 NIST SP 800-171 修订版 2 - AmazonSecurity Hub
为标准配置资源记录确定哪些控件适用于标准
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Security Hub CSPM 中的 NIST SP 800-171 修订版 2

NIST 专题出版物 800-171 修订版 2(NIST SP 800-171 Rev. 2)是由美国商务部下属机构美国国家标准与技术研究院(NIST)开发的网络安全和合规框架。此合规框架提供了保护不属于美国联邦政府的系统和组织中受控非机密信息的机密性的建议安全要求。受控非机密信息(也称为 CUI)是不符合政府保密标准但必须受到保护的敏感信息。它是被认为是敏感信息,并且是由美国联邦政府或代表美国联邦政府的其他实体创建或拥有的信息。

NIST SP 800-171 Rev. 2 提供了针对以下情况下保护 CUI 机密性的建议安全要求:

  • 该信息存在于非联邦系统和组织中,

  • 非联邦组织未代表联邦机构收集或维护信息,也未代表联邦机构使用或运营系统,并且

  • 对于 CUI Registry 中列出的 CUI 类别,授权法律、法规或政府范围内的政策没有规定保护 CUI 机密性的具体保障要求。

这些要求适用于处理、存储或传输 CUI 或者为组件提供安全保护的非联邦系统和组织的所有组件。有关更多信息,请参阅 NIST 计算机安全资源中心中的 NIST SP 800-171 Rev. 2

AmazonSecurity Hub CSPM 提供的安全控制措施支持 NIST SP 800-171 修订版 2 要求的子集。这些控件会对某些Amazon Web Services 服务资源执行自动安全检查。要启用和管理这些控件,您可以将 NIST SP 800-171 修订版 2 框架作为 Security Hub CSPM 中的标准启用。请注意,控件不支持需要手动检查的 NIST SP 800-171 修订版 2 要求。

为适用于标准的控件配置资源记录

为了优化覆盖范围和结果的准确性,在 Sec Amazon urity Hub CSPM 中启用 NIST SP 800-171 修订版 2 标准Amazon Config之前,在中启用和配置资源记录非常重要。配置资源记录时,还要确保为所有类型的Amazon资源启用该功能,这些资源由适用于标准的控件进行检查。否则,Security Hub CSPM 可能无法评估适当的资源,也无法针对适用于标准的控件生成准确的调查发现。

有关 Security Hub CSPM 如何在中使用资源记录的信息Amazon Config,请参阅。为 Security Hub CSPM 启用和配置 Amazon Config有关在中配置资源记录的信息Amazon Config,请参阅Amazon Config开发人员指南》中的使用配置记录器

下表指定了适用于 Security Hub CSPM 中的 NIST SP 800-171 修订版 2 标准的控件要记录的资源类型。

Amazon Web Services 服务 资源类型
Amazon Certificate Manager (ACM)

AWS::ACM::Certificate
Amazon API Gateway

AWS::ApiGateway::Stage
Amazon CloudFront

AWS::CloudFront::Distribution
Amazon CloudWatch

AWS::CloudWatch::Alarm
亚马逊弹性计算云(亚马逊 EC2)

AWS::EC2::ClientVpnEndpoint, AWS::EC2::NetworkAcl, AWS::EC2::SecurityGroup, AWS::EC2::VPC, AWS::EC2::VPNConnection
Elastic Load Balancing

AWS::ElasticLoadBalancing::LoadBalancer
Amazon Identity and Access Management (IAM)

AWS::IAM::Policy, AWS::IAM::User
Amazon Key Management Service (Amazon KMS)

AWS::KMS::Alias, AWS::KMS::Key
Amazon Network Firewall

AWS::NetworkFirewall::FirewallPolicy, AWS::NetworkFirewall::RuleGroup
Amazon Simple Storage Service (Amazon S3)

AWS::S3::Bucket
Amazon Simple Notification Service (Amazon SNS)

AWS::SNS::Topic
Amazon Systems Manager (SSM)

AWS::SSM::PatchCompliance
Amazon WAF

AWS::WAFv2::RuleGroup

确定哪些控件适用于标准

以下列表列出了支持 NIST SP 800-171 修订版 2 要求并适用于 Security Hub CSPM 中的 NIST SP 800-171 修订版 2 标准的控件。Amazon有关控件支持的特定要求的详细信息,请选择该控件。然后参阅控件详细信息中的相关要求字段。此字段指定控件支持的每个 NIST 要求。如果该字段未指定特定 NIST 要求,则控件不支持该要求。