Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
NIST SP 800-171 Revision 2 im Security Hub CSPM
Die NIST-Sonderveröffentlichung 800-171 Revision 2 (NIST SP 800-171 Rev. 2) ist ein Framework für Cybersicherheit und Compliance, das vom National Institute of Standards and Technology (NIST), einer Behörde, die Teil des US-Handelsministeriums ist, entwickelt wurde. Dieses Compliance-Framework enthält empfohlene Sicherheitsanforderungen für den Schutz der Vertraulichkeit kontrollierter, nicht klassifizierter Informationen in Systemen und Organisationen, die nicht Teil der US-Bundesregierung sind. Kontrollierte, nicht klassifizierte Informationen, auch CUI genannt, sind vertrauliche Informationen, die nicht den staatlichen Klassifizierungskriterien entsprechen, aber geschützt werden müssen. Es handelt sich um Informationen, die als sensibel gelten und von der US-Bundesregierung oder anderen Stellen im Auftrag der US-Bundesregierung erstellt oder in Besitz genommen wurden.
NIST SP 800-171 Rev. 2 enthält empfohlene Sicherheitsanforderungen zum Schutz der Vertraulichkeit von CUI in folgenden Fällen:
-
Die Informationen befinden sich in nichtföderalen Systemen und Organisationen,
-
Die nichtföderale Organisation sammelt oder verwaltet keine Informationen im Auftrag einer Bundesbehörde und nutzt oder betreibt kein System im Auftrag einer Behörde, und
-
Für die CUI-Kategorie, die im CUI-Register aufgeführt ist, gibt es keine spezifischen Schutzanforderungen zum Schutz der Vertraulichkeit von CUI, die in den Genehmigungsgesetzen, Verordnungen oder behördlichen Richtlinien vorgeschrieben sind.
Die Anforderungen gelten für alle Komponenten nichtstaatlicher Systeme und Organisationen, die CUI verarbeiten, speichern oder übertragen oder Sicherheitsschutz für die Komponenten bieten. Weitere Informationen finden Sie unter NIST SP 800-171 Rev. 2
AWS Security Hub Cloud Security Posture Management (CSPM) bietet Sicherheitskontrollen, die einen Teil der Anforderungen von NIST SP 800-171 Revision 2 unterstützen. Die Kontrollen führen automatisierte Sicherheitsprüfungen für bestimmte Ressourcen durch. AWS-Services Um diese Kontrollen zu aktivieren und zu verwalten, können Sie das NIST SP 800-171 Revision 2-Framework standardmäßig in Security Hub CSPM aktivieren. Beachten Sie, dass die Steuerungen die Anforderungen von NIST SP 800-171 Revision 2, die manuelle Prüfungen erfordern, nicht unterstützen.
Themen
Konfiguration der Ressourcenaufzeichnung für Kontrollen, die für den Standard gelten
Um die Abdeckung und die Genauigkeit der Ergebnisse zu optimieren, ist es wichtig, die Ressourcenaufzeichnung zu aktivieren und zu konfigurieren, AWS Config bevor Sie den Standard NIST SP 800-171 Revision 2 in AWS Security Hub Cloud Security Posture Management (CSPM) aktivieren. Achten Sie bei der Konfiguration der Ressourcenaufzeichnung auch darauf, sie für alle AWS Ressourcentypen zu aktivieren, die durch die für den Standard geltenden Kontrollen überprüft werden. Andernfalls ist Security Hub CSPM möglicherweise nicht in der Lage, die geeigneten Ressourcen zu bewerten und genaue Ergebnisse für Kontrollen zu generieren, die für den Standard gelten.
Informationen darüber, wie Security Hub CSPM die Ressourcenaufzeichnung in verwendet AWS Config, finden Sie unter. Aktivierung und Konfiguration AWS Config für Security Hub CSPM Informationen zur Konfiguration der Ressourcenaufzeichnung in AWS Config finden Sie unter Arbeiten mit dem Konfigurationsrekorder im AWS Config Entwicklerhandbuch.
In der folgenden Tabelle sind die Ressourcentypen aufgeführt, die für Kontrollen aufgezeichnet werden müssen, die für den Standard NIST SP 800-171 Revision 2 in Security Hub CSPM gelten.
| AWS-Service | Ressourcentypen |
|---|---|
| AWS Certificate Manager(ACM) |
|
| Amazon API Gateway |
|
| Amazon CloudFront |
|
| Amazon CloudWatch |
|
| Amazon Elastic Compute Cloud (Amazon EC2) |
|
| Elastic Load Balancing |
|
| AWS Identity and Access Management(IAM) |
|
| AWS Key Management Service (AWS KMS) |
|
| AWS Network Firewall |
|
| Amazon Simple Storage Service (Amazon S3) |
|
| Amazon Simple Notification Service (Amazon SNS) |
|
| AWS Systems Manager(SSM) |
|
| AWS WAF |
|
Festlegung, welche Kontrollen für den Standard gelten
In der folgenden Liste sind die Kontrollen aufgeführt, die die Anforderungen von NIST SP 800-171 Revision 2 unterstützen und für den Standard NIST SP 800-171 Revision 2 in AWS Security Hub Cloud Security Posture Management (CSPM) gelten. Einzelheiten zu den spezifischen Anforderungen, die ein Steuerelement unterstützt, erhalten Sie, wenn Sie das Steuerelement auswählen. Weitere Informationen finden Sie in den Details für das Steuerelement im Feld „Verwandte Anforderungen“. Dieses Feld gibt jede NIST-Anforderung an, die das Steuerelement unterstützt. Wenn das Feld keine bestimmte NIST-Anforderung spezifiziert, unterstützt das Steuerelement die Anforderung nicht.
-
[CloudFront.7] CloudFront Distributionen sollten benutzerdefinierte SSL/TLS-Zertifikate verwenden
-
[CloudTrail.2] CloudTrail sollte die Verschlüsselung im Ruhezustand aktiviert haben
-
[CloudTrail.3] Mindestens ein CloudTrail Trail sollte aktiviert sein
-
[CloudTrail.4] Die Überprüfung der CloudTrail Protokolldatei sollte aktiviert sein
-
[CloudWatch.15] Für CloudWatch Alarme sollten bestimmte Aktionen konfiguriert sein
-
[EC2.6] Die VPC-Flow-Protokollierung sollte in allen aktiviert sein VPCs
-
[EC2.13] Sicherheitsgruppen sollten keinen Zugang von 0.0.0.0/0 oder: :/0 zu Port 22 zulassen
-
[EC2.16] Ungenutzte Network Access Control Lists sollten entfernt werden
-
[EC2.20] Beide VPN-Tunnel für eine AWS Site-to-Site VPN-Verbindung sollten aktiv sein
-
[EC2.21] Das Netzwerk ACLs sollte keinen Zugang von 0.0.0.0/0 zu Port 22 oder Port 3389 zulassen
-
[EC2.51] EC2 Client-VPN-Endpunkte sollten die Client-Verbindungsprotokollierung aktiviert haben
-
[IAM.1] IAM-Richtlinien sollten keine vollen „*“ -Administratorrechte zulassen
-
[IAM.2] IAM-Benutzern sollten keine IAM-Richtlinien zugeordnet sein
-
[IAM.7] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein
-
[IAM.8] Unbenutzte IAM-Benutzeranmeldedaten sollten entfernt werden
-
[IAM.10] Die Kennwortrichtlinien für IAM-Benutzer sollten stark konfiguriert sein
-
[IAM.14] Stellen Sie sicher, dass die IAM-Passwortrichtlinie mindestens eine Zahl erfordert
-
[IAM.22] IAM-Benutzeranmeldedaten, die 45 Tage lang nicht verwendet wurden, sollten entfernt werden
-
[NetworkFirewall.2] Die Netzwerk-Firewall-Protokollierung sollte aktiviert sein
-
[NetworkFirewall.6] Die Regelgruppe Stateless Network Firewall sollte nicht leer sein
-
[S3.5] S3-Allzweck-Buckets sollten Anfragen zur Verwendung von SSL erfordern
-
[S3.6] Allgemeine S3-Bucket-Richtlinien sollten den Zugriff auf andere einschränken AWS-Konten
-
[S3.9] Bei S3-Allzweck-Buckets sollte die Serverzugriffsprotokollierung aktiviert sein
-
[S3.11] Bei S3-Allzweck-Buckets sollten Ereignisbenachrichtigungen aktiviert sein
-
[S3.14] Für S3-Allzweck-Buckets sollte die Versionierung aktiviert sein
-
[S3.17] S3-Allzweck-Buckets sollten im Ruhezustand verschlüsselt werden mit AWS KMS keys
-
[SNS.1] SNS-Themen sollten im Ruhezustand wie folgt verschlüsselt werden AWS KMS
-
Für [WAF.12] AWS WAF Regeln sollten Metriken aktiviert sein CloudWatch
