NIST SP 800-53 revisión 5 en Security Hub CSPM - AWS Security Hub
Configuración del registro de recursos para el estándarDeterminar qué controles se aplican a la norma

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

NIST SP 800-53 revisión 5 en Security Hub CSPM

La publicación especial 800-53 del NIST, revisión 5 (NIST SP 800-53 rev. 5) es un marco de ciberseguridad y cumplimiento desarrollado por el Instituto Nacional de Estándares y Tecnología (NIST), una agencia que forma parte del Departamento de Comercio de los Estados Unidos. Este marco de cumplimiento proporciona un catálogo de requisitos de seguridad y privacidad para proteger la confidencialidad, integridad y disponibilidad de los sistemas de información y los recursos críticos. Las agencias del gobierno federal de EE. UU. y los contratistas deben cumplir con estos requisitos para proteger sus sistemas y organizaciones. Las organizaciones privadas también pueden utilizar voluntariamente los requisitos como marco orientativo para reducir el riesgo de ciberseguridad. Para obtener más información sobre el marco y sus requisitos, consulte la norma NIST SP 800-53 Rev. 5 en el Centro de recursos de seguridad informática del NIST.

AWS Security Hub Cloud Security Posture Management (CSPM) proporciona controles de seguridad que admiten un subconjunto de los requisitos de la revisión 5 del NIST SP 800-53. Los controles realizan comprobaciones de seguridad automatizadas para determinados recursos. Servicios de AWS Para habilitar y administrar estos controles, puede habilitar el marco NIST SP 800-53 Revision 5 como estándar en Security Hub CSPM. Tenga en cuenta que los controles no son compatibles con los requisitos de la revisión 5 del NIST SP 800-53, que requieren comprobaciones manuales.

A diferencia de otros marcos, el marco de la revisión 5 del NIST SP 800-53 no es prescriptivo sobre cómo deben evaluarse sus requisitos. En cambio, el marco proporciona pautas. En Security Hub CSPM, el estándar NIST SP 800-53 revisión 5 y los controles representan la comprensión del servicio de estas pautas.

Configurar el registro de recursos para los controles que se aplican al estándar

Para optimizar la cobertura y la precisión de los hallazgos, es importante habilitar y configurar el registro de recursos AWS Config antes de habilitar el estándar NIST SP 800-53 revisión 5 en AWS Security Hub Cloud Security Posture Management (CSPM). Cuando configure el registro de recursos, asegúrese también de habilitarlo para todos los tipos de AWS recursos que se comprueban mediante los controles que se aplican a la norma. Esto se aplica principalmente a los controles que tienen un tipo de programa activado por cambios. Sin embargo, algunos controles con un tipo de programación periódica también requieren el registro de recursos. Si el registro de recursos no está habilitado o configurado correctamente, es posible que Security Hub CSPM no pueda evaluar los recursos adecuados ni generar resultados precisos para los controles que se aplican al estándar.

Para obtener información sobre cómo Security Hub CSPM utiliza el registro de recursos AWS Config, consulte. Habilitación y configuración AWS Config de Security Hub CSPM Para obtener información sobre cómo configurar el registro de recursos en AWS Config, consulte Trabajar con el grabador de configuración en la Guía AWS Config para desarrolladores.

En la siguiente tabla se especifican los tipos de recursos que se van a registrar para los controles que se aplican al estándar NIST SP 800-53, revisión 5, en Security Hub CSPM.

Servicio de AWS Tipos de recurso

Amazon API Gateway

AWS::ApiGateway::Stage, AWS::ApiGatewayV2::Stage

AWS AppSync

AWS::AppSync::GraphQLApi

AWS Backup

AWS::Backup::RecoveryPoint

AWS Certificate Manager (ACM)

AWS::ACM::Certificate

AWS CloudFormation

AWS::CloudFormation::Stack

Amazon CloudFront

AWS::CloudFront::Distribution

Amazon CloudWatch

AWS::CloudWatch::Alarm

AWS CodeBuild

AWS::CodeBuild::Project

AWS Database Migration Service (AWS DMS)

AWS::DMS::Endpoint, AWS::DMS::ReplicationInstance, AWS::DMS::ReplicationTask

Amazon DynamoDB

AWS::DynamoDB::Table

Amazon Elastic Compute Cloud (Amazon EC2)

AWS::EC2::ClientVpnEndpoint, AWS::EC2::EIP, AWS::EC2::Instance, AWS::EC2::LaunchTemplate, AWS::EC2::NetworkAcl, AWS::EC2::NetworkInterface, AWS::EC2::SecurityGroup, AWS::EC2::Subnet, AWS::EC2::TransitGateway, AWS::EC2::VPNConnection, AWS::EC2::Volume

Amazon EC2 Auto Scaling

AWS::AutoScaling::AutoScalingGroup, AWS::AutoScaling::LaunchConfiguration

Amazon Elastic Container Registry (Amazon ECR)

AWS::ECR::Repository

Amazon Elastic Container Service (Amazon ECS)

AWS::ECS::Cluster, AWS::ECS::Service, AWS::ECS::TaskDefinition

Amazon Elastic File System (Amazon EFS)

AWS::EFS::AccessPoint

Amazon Elastic Kubernetes Service (Amazon EKS)

AWS::EKS::Cluster

AWS Elastic Beanstalk

AWS::ElasticBeanstalk::Environment

Elastic Load Balancing

AWS::ElasticLoadBalancing::LoadBalancer, AWS::ElasticLoadBalancingV2::Listener, AWS::ElasticLoadBalancingV2::LoadBalancer

Amazon ElasticSearch

AWS::Elasticsearch::Domain

Amazon EMR

AWS::EMR::SecurityConfiguration

Amazon EventBridge

AWS::Events::Endpoint, AWS::Events::EventBus

AWS Glue

AWS::Glue::Job

AWS Identity and Access Management (IAM)

AWS::IAM::Group, AWS::IAM::Policy, AWS::IAM::Role, AWS::IAM::User

AWS Key Management Service (AWS KMS)

AWS::KMS::Alias, AWS::KMS::Key

Amazon Kinesis

AWS::Kinesis::Stream

AWS Lambda

AWS::Lambda::Function

Amazon Managed Streaming for Apache Kafka (Amazon MSK)

AWS::MSK::Cluster

Amazon MQ

AWS::AmazonMQ::Broker

AWS Network Firewall

AWS::NetworkFirewall::Firewall, AWS::NetworkFirewall::FirewallPolicy, AWS::NetworkFirewall::RuleGroup

OpenSearch Servicio Amazon

AWS::OpenSearch::Domain

Amazon Relational Database Service (Amazon RDS)

AWS::RDS::DBCluster, AWS::RDS::DBClusterSnapshot, AWS::RDS::DBInstance, AWS::RDS::DBSnapshot, AWS::RDS::EventSubscription

Amazon Redshift

AWS::Redshift::Cluster, AWS::Redshift::ClusterSubnetGroup

Amazon Route 53

AWS::Route53::HostedZone

Amazon Simple Storage Service (Amazon S3)

AWS::S3::AccessPoint, AWS::S3::AccountPublicAccessBlock, AWS::S3::Bucket

AWS Service Catalog

AWS::ServiceCatalog::Portfolio

Amazon Simple Notification Service (Amazon SNS)

AWS::SNS::Topic

Amazon Simple Queue Service (Amazon SQS)

AWS::SQS::Queue
Amazon EC2 Systems Manager (SSM)

AWS::SSM::AssociationCompliance, AWS::SSM::ManagedInstanceInventory, AWS::SSM::PatchCompliance

Amazon SageMaker AI

AWS::SageMaker::NotebookInstance

AWS Secrets Manager

AWS::SecretsManager::Secret

AWS Transfer Family

AWS::Transfer::Connector

AWS WAF

AWS::WAF::Rule, AWS::WAF::RuleGroup, AWS::WAF::WebACL, AWS::WAFRegional::Rule, AWS::WAFRegional::RuleGroup, AWS::WAFRegional::WebACL, AWS::WAFv2::RuleGroup, AWS::WAFv2::WebACL

Determinar qué controles se aplican a la norma

La siguiente lista especifica los controles que cumplen con los requisitos del NIST SP 800-53 revisión 5 y que se aplican al estándar NIST SP 800-53 revisión 5 en Security Hub AWS Cloud Security Posture Management (CSPM). Para obtener información detallada sobre los requisitos específicos que admite un control, seleccione el control. A continuación, consulte el campo Requisitos relacionados en los detalles del control. Este campo especifica cada requisito del NIST que admite el control. Si el campo no especifica un requisito concreto del NIST, el control no lo admite.