Security Hub CSPM 标准参考
在 Amazon Security Hub CSPM 中,安全标准是基于监管框架、行业最佳实践或公司政策的一组要求。Security Hub CSPM 将这些要求映射到控件,并对控件运行安全检查,以评测是否符合标准的要求。每个标准都包含多个控件。
Security Hub CSPM 当前支持以下标准:
-
Amazon 基础安全最佳实践 – 此标准由 Amazon 和行业专业人士制定,汇编了适用于任何行业或规模的组织的安全最佳实践。它提供了一组控件,用于检测您的 Amazon Web Services 账户和资源何时偏离安全最佳实践。它提供了有关如何改进和维护安全状况的规范性指导。
-
Amazon 资源标记 – 此标准由 Security Hub CSPM 制定,可帮助您确定您的 Amazon 资源是否有标签。标签是充当 Amazon 资源的元数据的键值对。标签可以帮助您识别、分类、管理和搜索 Amazon 资源。例如,您可以使用标签按用途、所有者或环境对资源进行分类。
-
CIS Amazon 基金会基准 – 该标准由互联网安全中心 (CIS) 制定,为 Amazon 提供安全配置指南。它针对一部分 Amazon Web Services 服务和资源指定了一套安全配置指南和最佳实践,重点介绍基础、可测试的以及与架构无关的设置。指南包括清晰的分步实施和评测过程。
-
NIST SP 800-53 修订版 5 – 此标准符合美国国家标准与技术研究院 (NIST) 关于保护信息系统和关键资源的机密性、完整性和可用性的要求。相关框架通常适用于美国联邦机构或者与美国联邦机构或信息系统合作的组织。但是,私人组织也可以将这些要求用作指导框架。
-
NIST SP 800-171 修订版 2 – 此标准符合 NIST 安全建议和要求,旨在保护不属于美国联邦政府的系统和组织中受控非机密信息 (CUI) 的机密性。CUI 是指不符合政府分类标准但被认为是敏感信息,并且是由美国联邦政府或代表美国联邦政府的其他实体创建或拥有的信息。
-
PCI DSS – 此标准符合支付卡行业数据安全标准 (PCI DSS) 合规框架,该框架由 PCI 安全标准委员会 (SSC) 定义。该框架提供了一套安全处理信用卡和借记卡信息的规则和指南。该框架通常适用于存储、处理或传输持卡人数据的组织。
-
服务管理标准,Amazon Control Tower – 此标准可帮助您配置 Amazon Control Tower 提供的主动控制以及 Security Hub CSPM 提供的检测性控件。Amazon Control Tower 提供了一种简单的方法,让您能够按照规范性最佳实践设置和管理 Amazon 多账户环境。通过为 Amazon 环境启用主动和检测性控件,您可以在不同的开发阶段增强安全状况。
Security Hub CSPM 的标准和控件并不能保证遵守任何监管框架或审计。相反,它们提供了一种评估和监控您的 Amazon Web Services 账户 账户和资源状态的方法。建议您启用与您的业务需求、行业或使用案例相关的各项标准。
单个控件可以适用于多个标准。如果启用多个标准,则建议您同时启用整合的控件调查发现。如果这样做,Security Hub CSPM 会为每个控件生成一个调查发现,即使该控件适用于多个标准也是如此。如果不启用整合的控件调查发现,Security Hub CSPM 会为控件适用于的每个已启用标准生成单独的调查发现。例如,如果启用了两个标准,并且一个控件适用于这两个标准,则您会收到两个针对该控件的单独调查发现,每个标准一个。如果启用整合的控件调查发现,则只会收到控件的一个调查发现。有关更多信息,请参阅 整合的控件调查发现。