本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Security Hub CSPM 中的 NIST SP 800-171 修订版 2
<a name="standards-reference-nist-800-171"></a>

NIST 专题出版物 800-171 修订版 2（NIST SP 800-171 Rev. 2）是由美国商务部下属机构美国国家标准与技术研究院（NIST）开发的网络安全和合规框架。此合规框架提供了保护不属于美国联邦政府的系统和组织中受控非机密信息的机密性的建议安全要求。*受控非机密信息*（也称为 *CUI*）是不符合政府保密标准但必须受到保护的敏感信息。它是被认为是敏感信息，并且是由美国联邦政府或代表美国联邦政府的其他实体创建或拥有的信息。

NIST SP 800-171 Rev. 2 提供了针对以下情况下保护 CUI 机密性的建议安全要求：
+ 该信息存在于非联邦系统和组织中，
+ 非联邦组织未代表联邦机构收集或维护信息，也未代表联邦机构使用或运营系统，并且 
+ 对于 CUI Registry 中列出的 CUI 类别，授权法律、法规或政府范围内的政策没有规定保护 CUI 机密性的具体保障要求。

这些要求适用于处理、存储或传输 CUI 或者为组件提供安全保护的非联邦系统和组织的所有组件。有关更多信息，请参阅 *NIST 计算机安全资源中心*中的 [NIST SP 800-171 Rev. 2](https://csrc.nist.gov/pubs/sp/800/171/r2/upd1/final)。

Amazon Security Hub CSPM 提供的安全控制措施支持 NIST SP 800-171 修订版 2 要求的子集。这些控件会对某些 Amazon Web Services 服务 资源执行自动安全检查。要启用和管理这些控件，您可以将 NIST SP 800-171 修订版 2 框架作为 Security Hub CSPM 中的标准启用。请注意，控件不支持需要手动检查的 NIST SP 800-171 修订版 2 要求。

**Topics**
+ [为标准配置资源记录](#standards-reference-nist-800-171-recording)
+ [确定哪些控件适用于标准](#standards-reference-nist-800-171-controls)

## 为适用于标准的控件配置资源记录
<a name="standards-reference-nist-800-171-recording"></a>

为了优化覆盖范围和结果的准确性，在 Sec Amazon urity Hub CSPM 中启用 NIST SP 800-171 修订版 2 标准 Amazon Config 之前，在中启用和配置资源记录非常重要。配置资源记录时，还要确保为所有类型的 Amazon 资源启用该功能，这些资源由适用于标准的控件进行检查。否则，Security Hub CSPM 可能无法评估适当的资源，也无法针对适用于标准的控件生成准确的调查发现。

有关 Security Hub CSPM 如何在中使用资源记录的信息 Amazon Config，请参阅。[为 Security Hub CSPM 启用和配置 Amazon Config](securityhub-setup-prereqs.md)有关在中配置资源记录的信息 Amazon Config，请参阅[《*Amazon Config 开发人员指南》*中的使用配置记录器](https://docs.amazonaws.cn/config/latest/developerguide/stop-start-recorder.html)。

下表指定了适用于 Security Hub CSPM 中的 NIST SP 800-171 修订版 2 标准的控件要记录的资源类型。


| Amazon Web Services 服务 | 资源类型 | 
| --- | --- | 
| Amazon Certificate Manager (ACM) | `AWS::ACM::Certificate` | 
| Amazon API Gateway | `AWS::ApiGateway::Stage` | 
| 亚马逊 CloudFront | `AWS::CloudFront::Distribution` | 
| 亚马逊 CloudWatch | `AWS::CloudWatch::Alarm` | 
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` | 
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer` | 
| Amazon Identity and Access Management (IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` | 
| Amazon Key Management Service (Amazon KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` | 
| Amazon Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` | 
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` | 
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` | 
| Amazon Systems Manager (SSM) | `AWS::SSM::PatchCompliance` | 
| Amazon WAF | `AWS::WAFv2::RuleGroup` | 

## 确定哪些控件适用于标准
<a name="standards-reference-nist-800-171-controls"></a>

以下列表列出了支持 NIST SP 800-171 修订版 2 要求并适用于 Security Hub CSPM 中的 NIST SP 800-171 修订版 2 标准的控件。 Amazon 有关控件支持的特定要求的详细信息，请选择该控件。然后参阅控件详细信息中的**相关要求**字段。此字段指定控件支持的每个 NIST 要求。如果该字段未指定特定 NIST 要求，则控件不支持该要求。
+ [[ACM.1] 导入的证书和 ACM 颁发的证书应在指定的时间段后续订](acm-controls.md#acm-1)
+ [[APIGateway.2] 应将 API Gateway REST API 阶段配置为使用 SSL 证书进行后端身份验证](apigateway-controls.md#apigateway-2)
+ [[CloudFront.7] CloudFront 发行版应使用自定义证书 SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.10] CloudFront 分发版不应在边缘站点和自定义源站之间使用已弃用的 SSL 协议](cloudfront-controls.md#cloudfront-10)
+ [[CloudTrail.2] CloudTrail 应该启用静态加密](cloudtrail-controls.md#cloudtrail-2)
+ [[CloudTrail.3] 应至少启用一条 CloudTrail 跟踪](cloudtrail-controls.md#cloudtrail-3)
+ [[CloudTrail.4] 应启用 CloudTrail 日志文件验证](cloudtrail-controls.md#cloudtrail-4)
+ [[CloudWatch.1] “root” 用户应有日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] 确保存在针对未经授权的 API 调用的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.4] 确保存在针对 IAM 策略更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] 确保存在 CloudTrail 配置更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] 确保存在针对 Amazon Web Services 管理控制台 身份验证失败的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] 确保存在用于禁用或计划删除客户托管密钥的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] 确保存在针对 S3 存储桶策略更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] 确保存在 Amazon Config 配置更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] 确保存在针对安全组更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] 确保存在针对网络访问控制列表 (NACL) 更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] 确保存在针对网络网关更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] 确保存在针对路由表更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] 确保存在针对 VPC 更改的日志指标筛选器和警报](cloudwatch-controls.md#cloudwatch-14)
+ [[CloudWatch.15] CloudWatch 警报应配置指定操作](cloudwatch-controls.md#cloudwatch-15)
+ [[EC2.6] 应全部启用 VPC 流量记录 VPCs](ec2-controls.md#ec2-6)
+ [[EC2.10] 应将 Amazon EC2 配置为使用为 Amazon EC2 服务创建的 VPC 端点](ec2-controls.md#ec2-10)
+ [[EC2.13] 安全组不应允许从 0.0.0.0/0 或 ::/0 到端口 22 的入口流量](ec2-controls.md#ec2-13)
+ [[EC2.16] 应删除未使用的网络访问控制列表](ec2-controls.md#ec2-16)
+ [[EC2.18] 安全组应只允许授权端口不受限制的传入流量](ec2-controls.md#ec2-18)
+ [[EC2.19] 安全组不应允许不受限制地访问高风险端口](ec2-controls.md#ec2-19)
+ [[EC2.20] VPN 连接的两个 VPN 隧道都应 Amazon Site-to-Site 处于开启状态](ec2-controls.md#ec2-20)
+ [[EC2.21] 网络 ACLs 不应允许从 0.0.0.0/0 进入端口 22 或端口 3389](ec2-controls.md#ec2-21)
+ [[EC2.51] EC2 Client VPN 端点应启用客户端连接日志记录](ec2-controls.md#ec2-51)
+ [[ELB.2] 带 SSL/HTTPS 侦听器的经典负载均衡器应使用由提供的证书 Amazon Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.3] 应将经典负载均衡器侦听器配置为 HTTPS 或 TLS 终止](elb-controls.md#elb-3)
+ [[ELB.8] 带有 SSL 侦听器的经典负载均衡器应使用持续时间较长的预定义安全策略 Amazon Config](elb-controls.md#elb-8)
+ [[GuardDuty.1] GuardDuty 应该启用](guardduty-controls.md#guardduty-1)
+ [[IAM.1] IAM policy 不应允许完整的“\$1”管理权限](iam-controls.md#iam-1)
+ [[IAM.2] IAM 用户不应附加 IAM policy](iam-controls.md#iam-2)
+ [[IAM.7] IAM 用户的密码策略应具有可靠的配置](iam-controls.md#iam-7)
+ [[IAM.8] 应移除未使用的 IAM 用户凭证](iam-controls.md#iam-8)
+ [[IAM.10] IAM 用户的密码策略应具有很强的配置](iam-controls.md#iam-10)
+ [[IAM.11] 确保 IAM 密码策略要求包含至少一个大写字母](iam-controls.md#iam-11)
+ [[IAM.12] 确保 IAM 密码策略要求包含至少一个小写字母](iam-controls.md#iam-12)
+ [[IAM.13] 确保 IAM 密码策略要求包含至少一个符号](iam-controls.md#iam-13)
+ [[IAM.14] 确保 IAM 密码策略要求包含至少一个数字](iam-controls.md#iam-14)
+ [[IAM.15] 确保 IAM 密码策略要求最短密码长度不低于 14](iam-controls.md#iam-15)
+ [[IAM.16] 确保 IAM 密码策略阻止重复使用密码](iam-controls.md#iam-16)
+ [[IAM.18] 确保已创建支持角色来管理事件 Amazon Web Services 支持](iam-controls.md#iam-18)
+ [[IAM.19] 应为所有 IAM 用户启用 MFA](iam-controls.md#iam-19)
+ [[IAM.21] 您创建的 IAM 客户托管策略不应允许对服务执行通配符操作](iam-controls.md#iam-21)
+ [[IAM.22] 应移除在 45 天内未使用的 IAM 用户凭证](iam-controls.md#iam-22)
+ [[NetworkFirewall.2] 应启用 Network Firewall 日志记录](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Network Firewall 策略应至少关联一个规则组](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.5] 对于分段的数据包，Network Firewall 策略的默认无状态操作应为丢弃或转发](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] 无状态 Network Firewall 规则组不应为空](networkfirewall-controls.md#networkfirewall-6)
+ [[S3.5] S3 通用存储桶应需要请求才能使用 SSL](s3-controls.md#s3-5)
+ [[S3.6] S3 通用存储桶策略应限制对其他存储桶的访问 Amazon Web Services 账户](s3-controls.md#s3-6)
+ [[S3.9] S3 通用存储桶应启用服务器访问日志记录](s3-controls.md#s3-9)
+ [[S3.11] S3 通用存储桶应启用事件通知](s3-controls.md#s3-11)
+ [[S3.14] S3 通用存储桶应启用版本控制](s3-controls.md#s3-14)
+ [[S3.17] S3 通用存储桶应使用静态加密 Amazon KMS keys](s3-controls.md#s3-17)
+ [[SNS.1] SNS 主题应使用以下方法进行静态加密 Amazon KMS](sns-controls.md#sns-1)
+ [[SSM.2] 由 Systems Manager 管理的 Amazon EC2 实例在安装补丁后应具有 COMPLIANT 的补丁合规性状态](ssm-controls.md#ssm-2)
+ [[WAF.12] Amazon WAF 规则应启用指标 CloudWatch](waf-controls.md#waf-12)