Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
NIST SP 800-171 revisión 2 en Security Hub CSPM
La publicación especial 800-171 revisión 2 del NIST (NIST SP 800-171 rev. 2) es un marco de ciberseguridad y cumplimiento desarrollado por el Instituto Nacional de Estándares y Tecnología (NIST), una agencia que forma parte del Departamento de Comercio de los Estados Unidos. Este marco de cumplimiento proporciona los requisitos de seguridad recomendados para proteger la confidencialidad de la información no clasificada controlada en sistemas y organizaciones que no forman parte del gobierno federal de los EE. UU. La información no clasificada controlada, también conocida como CUI, es información confidencial que no cumple con los criterios gubernamentales de clasificación, pero que debe protegerse. Se trata de información que se considera confidencial y que ha sido creada o poseída por el gobierno federal de los EE. UU. u otras entidades en nombre del gobierno federal de los EE. UU.
La norma NIST SP 800-171 Rev. 2 establece los requisitos de seguridad recomendados para proteger la confidencialidad de la información confidencial cuando:
-
La información reside en sistemas y organizaciones no federales,
-
La organización no federal no recopila ni mantiene información en nombre de una agencia federal ni utiliza ni opera un sistema en nombre de una agencia, y
-
La ley, el reglamento o la política gubernamental que los autorice no establecen requisitos de salvaguardia específicos para proteger la confidencialidad de la información confidencial de información confidencial prescrita en la legislación, reglamento o política gubernamental que los autorice para la categoría de información confidencial que figura en el registro de información confidencial de información confidencial.
Los requisitos se aplican a todos los componentes de los sistemas y organizaciones no federales que procesan, almacenan o transmiten la CUI, o que proporcionan protección de seguridad a los componentes. Para obtener más información, consulte la norma NIST SP 800-171 Rev. 2 en el Centro de recursos de seguridad informática del NIST.
AWS Security Hub Cloud Security Posture Management (CSPM) proporciona controles de seguridad que admiten un subconjunto de los requisitos del NIST SP 800-171, revisión 2. Los controles realizan comprobaciones de seguridad automatizadas para determinados recursos. Servicios de AWS Para habilitar y administrar estos controles, puede habilitar el marco NIST SP 800-171 Revision 2 como estándar en Security Hub CSPM. Tenga en cuenta que los controles no son compatibles con los requisitos del NIST SP 800-171, revisión 2, que requieren comprobaciones manuales.
Temas
Configurar el registro de recursos para los controles que se aplican a la norma
Para optimizar la cobertura y la precisión de los hallazgos, es importante habilitar y configurar el registro de recursos AWS Config antes de habilitar el estándar NIST SP 800-171 revisión 2 en AWS Security Hub Cloud Security Posture Management (CSPM). Cuando configure el registro de recursos, asegúrese también de habilitarlo para todos los tipos de AWS recursos que se comprueban mediante los controles que se aplican al estándar. De lo contrario, es posible que Security Hub CSPM no pueda evaluar los recursos adecuados y generar resultados precisos para los controles que se aplican a la norma.
Para obtener información sobre cómo Security Hub CSPM utiliza el registro de recursos AWS Config, consulte. Habilitación y configuración AWS Config de Security Hub CSPM Para obtener información sobre cómo configurar el registro de recursos en AWS Config, consulte Trabajar con el grabador de configuración en la Guía AWS Config para desarrolladores.
En la siguiente tabla se especifican los tipos de recursos que se van a registrar para los controles que se aplican al estándar NIST SP 800-171, revisión 2, en Security Hub CSPM.
Servicio de AWS | Tipos de recurso |
---|---|
AWS Certificate Manager(ACM) |
|
Amazon API Gateway |
|
Amazon CloudFront |
|
Amazon CloudWatch |
|
Amazon Elastic Compute Cloud (Amazon EC2) |
|
Elastic Load Balancing |
|
AWS Identity and Access Management(IAM) |
|
AWS Key Management Service (AWS KMS) |
|
AWS Network Firewall |
|
Amazon Simple Storage Service (Amazon S3) |
|
Amazon Simple Notification Service (Amazon SNS) |
|
AWS Systems Manager(SSM) |
|
AWS WAF |
|
Determinar qué controles se aplican a la norma
La siguiente lista especifica los controles que admiten los requisitos del NIST SP 800-171 revisión 2 y que se aplican al estándar NIST SP 800-171 revisión 2 en Security Hub Cloud Security Posture Management AWS (CSPM). Para obtener información sobre los requisitos específicos que admite un control, seleccione el control. A continuación, consulte el campo Requisitos relacionados en los detalles del control. Este campo especifica cada requisito del NIST que admite el control. Si el campo no especifica un requisito concreto del NIST, el control no lo admite.
-
[CloudFront.7] CloudFront Las distribuciones deben usar certificados SSL/TLS personalizados
-
[CloudTrail.2] CloudTrail debe tener habilitado el cifrado en reposo
-
[CloudTrail.3] Al menos un CloudTrail registro de seguimiento debe habilitarse
-
[CloudTrail.4] La validación de archivo de CloudTrail registro debe estar habilitada
-
[CloudWatch.15] CloudWatch las alarmas deben tener configuradas acciones específicas
-
[EC2.6] El registro de flujos de VPC debe estar habilitado en todos VPCs
-
[EC2.16] Deben eliminarse las listas de control de acceso a la red no utilizadas
-
[EC219] Los grupos de seguridad no deben permitir el acceso irrestricto a los puertos de alto riesgo
-
[EC220] Ambos túneles de VPN de una conexión de AWS Site-to-Site VPN deben estar activos
-
[EC2.21] La red no ACLs debe permitir la entrada desde 0.0.0/0 al puerto 22 o al puerto 3389
-
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”
-
[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas
-
[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras
-
[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas
-
[IAM.10] Las políticas de contraseñas de usuarios de IAM deben tener configuraciones seguras
-
[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula
-
[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula
-
[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo
-
[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número
-
[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más
-
[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas
-
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support
-
[IAM.19] MFA se debe habilitar para todos los usuarios de IAM
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
El grupo de reglas de Stateless Network Firewall [NetworkFirewall.6] no debe estar vacío
-
[S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL
-
[S3.9] Los buckets de uso general de S3 deben tener habilitado el registro de acceso al servidor
-
[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos
-
[S3.14] Los buckets de uso general de S3 deben tener habilitado el control de versiones
-
[S3.17] Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys
-
[SNS.1] Los temas de SNS deben cifrarse en reposo mediante AWS KMS
-
AWS WAF Las reglas de [WAF.12] deben tener habilitadas las métricas CloudWatch