Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Revisión 2 de NIST SP 800-171 en el CSPM de Security Hub
La Publicación Especial 800-171 Revisión 2 del NIST (NIST SP 800-171 Rev. 2) es un marco de ciberseguridad y cumplimiento desarrollado por el Instituto Nacional de Estándares y Tecnología (NIST), una agencia que forma parte del Departamento de Comercio de los Estados Unidos. Este marco de cumplimiento establece requisitos de seguridad recomendados para proteger la confidencialidad de la información controlada no clasificada (CUI) en sistemas y organizaciones que no forman parte del Gobierno federal de los Estados Unidos. La información controlada no clasificada (CUI) es información confidencial que no cumple los criterios del Gobierno para clasificarse, pero que igualmente se debe proteger. Se trata información considerada confidencial que es creada o mantenida por el Gobierno federal de los Estados Unidos o por entidades que actúan en su nombre.
NIST SP 800-171 Revisión 2 define requisitos de seguridad recomendados para proteger la confidencialidad de la CUI cuando:
-
La información se aloja en sistemas u organizaciones que no pertenecen al Gobierno federal;
-
La organización no federal no recopila ni mantiene la información en nombre de una agencia federal, ni utiliza u opera un sistema en nombre de dicha agencia; y
-
No existen requisitos de protección específicos establecidos por la ley habilitante, la normativa o una política federal aplicable a la categoría de CUI correspondiente, según figura en el Registro de CUI.
Los requisitos se aplican a todos los componentes de sistemas y organizaciones no federales que tratan, almacenan o transmiten CUI, o que proporcionan protección de seguridad para dichos componentes. Para obtener más información, consulte NIST SP 800-171 Revisión 2
AWSSecurity Hub CSPM proporciona controles de seguridad que admiten un subconjunto de los requisitos del NIST SP 800-171, revisión 2. Los controles realizan comprobaciones de seguridad automatizadas para determinados recursos. Servicios de AWS Para habilitar y administrar estos controles, puede habilitar el marco NIST SP 800-171 Revisión 2 como un estándar en el CSPM de Security Hub. Tenga en cuenta que los controles no admiten los requisitos de NIST SP 800-171 Revisión 2 que requieren comprobaciones manuales.
Temas
Configuración del registro de recursos para los controles que se aplican al estándar
Para optimizar la cobertura y la precisión de los hallazgos, es importante habilitar y configurar el registro de recursos AWS Config antes de habilitar el estándar NIST SP 800-171 revisión 2 en AWS Security Hub CSPM. Al configurar el registro de recursos, asegúrese también de habilitarlo para todos los tipos de AWS recursos que se comprueban mediante los controles que se aplican al estándar. De lo contrario, es posible que el CSPM de Security Hub no pueda evaluar los recursos adecuados ni generar los resultados precisos para los controles aplicables al estándar.
Para obtener información sobre cómo Security Hub CSPM utiliza el registro de recursosAWS Config, consulte. Habilitación y configuración de AWS Config para el CSPM de Security Hub Para obtener información sobre cómo configurar el registro de recursos enAWS Config, consulte Trabajar con el grabador de configuración en la Guía AWS Configpara desarrolladores.
La siguiente tabla especifica los tipos de recursos que se deben registrar para los controles que se aplican al estándar NIST SP 800-171 Revisión 2 en el CSPM de Security Hub.
| Servicio de AWS | Tipos de recurso |
|---|---|
| AWS Certificate Manager (ACM) |
|
| Amazon API Gateway |
|
| Amazon CloudFront |
|
| Amazon CloudWatch |
|
| Amazon Elastic Compute Cloud (Amazon EC2) |
|
| Elastic Load Balancing |
|
| AWS Identity and Access Management(IAM) |
|
| AWS Key Management Service (AWS KMS) |
|
| AWS Network Firewall |
|
| Amazon Simple Storage Service (Amazon S3) |
|
| Amazon Simple Notification Service (Amazon SNS) |
|
| AWS Systems Manager (SSM) |
|
| AWS WAF |
|
Cómo determinar qué controles se aplican al estándar
La siguiente lista especifica los controles que admiten los requisitos del NIST SP 800-171 revisión 2 y se aplican al estándar NIST SP 800-171 revisión 2 en Security Hub CSPM. AWS Para ver los detalles sobre los requisitos específicos que admite un control, seleccione el control. Luego, consulte el campo Requisitos relacionados en los detalles del control. Este campo especifica cada requisito de NIST que admite el control. Si el campo no especifica un requisito concreto de NIST, el control no admite ese requisito.
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo
-
[CloudTrail.3] Debe estar habilitada al menos una CloudTrail ruta
-
[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada
-
[CloudWatch.15] CloudWatch las alarmas deben tener configuradas acciones específicas
-
[EC2.6] El registro de flujo de VPC debe estar habilitado en todas VPCs
-
[EC2.16] Se deben eliminar las listas de control de acceso a la red no utilizadas
-
[EC2.20] Los dos túneles VPN de una conexión AWS Site-to-Site VPN deben estar activos
-
[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389
-
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”
-
[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas
-
[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras
-
[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas
-
[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una configuración sólida
-
[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula
-
[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula
-
[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo
-
[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número
-
[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más
-
[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas
-
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support
-
[IAM.19] MFA se debe habilitar para todos los usuarios de IAM
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío
-
[S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL
-
[S3.9] Los buckets de uso general de S3 deben tener habilitado el registro de acceso al servidor
-
[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos
-
[S3.14] Los buckets de uso general de S3 deben tener habilitado el control de versiones
-
[S3.17] Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys
-
[SNS.1] Los temas de SNS deben cifrarse en reposo mediante AWS KMS
-
AWS WAFLas reglas [WAF.12] deben tener las métricas habilitadas CloudWatch
