Revisión 5 de NIST SP 800-53 en el CSPM de Security Hub - AWSSecurity Hub
Configuración del registro de recursos para el estándarCómo determinar qué controles se aplican al estándar

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Revisión 5 de NIST SP 800-53 en el CSPM de Security Hub

La Publicación Especial 800-53 Revisión 5 del NIST (NIST SP 800-53 Rev. 5) es un marco de ciberseguridad y cumplimiento normativo desarrollado por el Instituto Nacional de Estándares y Tecnología (NIST), una agencia que forma parte del Departamento de Comercio de los Estados Unidos. Este marco de cumplimiento proporciona un catálogo de requisitos de seguridad y privacidad para proteger la confidencialidad, integridad y disponibilidad de los sistemas de información y los recursos críticos. Las agencias y contratistas del gobierno federal de los Estados Unidos deben cumplir estos requisitos para proteger sus sistemas y organizaciones. Las organizaciones privadas también pueden usar estos requisitos de manera voluntaria como marco orientador para reducir el riesgo de ciberseguridad. Para obtener más información sobre el marco y sus requisitos, consulte NIST SP 800-53 Rev. 5 en el Centro de Recursos de Seguridad Informática de NIST.

AWSSecurity Hub CSPM proporciona controles de seguridad que admiten un subconjunto de los requisitos del NIST SP 800-53, revisión 5. Los controles realizan comprobaciones de seguridad automatizadas para determinados recursos. Servicios de AWS Para habilitar y administrar estos controles, puede habilitar el marco NIST SP 800-53 Revisión 5 como un estándar en el CSPM de Security Hub. Tenga en cuenta que los controles no admiten los requisitos de NIST SP 800-53 Revisión 5 que requieren comprobaciones manuales.

A diferencia de otros marcos, NIST SP 800-53 Revisión 5 no prescribe cómo se deben evaluar sus requisitos. En su lugar, el marco proporciona directrices. En el CSPM de Security Hub, el estándar NIST SP 800-53 Revisión 5 y sus controles representan la interpretación que hace el servicio de estas directrices.

Configuración del registro de recursos para los controles que se aplican al estándar

Para optimizar la cobertura y la precisión de los hallazgos, es importante habilitar y configurar el registro de recursos AWS Config antes de habilitar el estándar NIST SP 800-53 revisión 5 en AWS Security Hub CSPM. Al configurar el registro de recursos, asegúrese también de habilitarlo para todos los tipos de AWS recursos que se comprueban mediante los controles que se aplican al estándar. Esto se aplica principalmente a los controles que tienen un tipo de programación activado por cambios. Sin embargo, algunos controles con un tipo de programación periódica también requieren el registro de recursos. Si el registro de recursos no está habilitado o no está configurado correctamente, es posible que el CSPM de Security Hub no pueda evaluar los recursos correspondientes ni generar resultados precisos para los controles que se aplican al estándar.

Para obtener información sobre cómo Security Hub CSPM utiliza el registro de recursosAWS Config, consulte. Habilitación y configuración de AWS Config para el CSPM de Security Hub Para obtener información sobre cómo configurar el registro de recursos enAWS Config, consulte Trabajar con el grabador de configuración en la Guía AWS Configpara desarrolladores.

La siguiente tabla especifica los tipos de recursos que se deben registrar para los controles que se aplican al estándar NIST SP 800-53 Revisión 5 en el CSPM de Security Hub.

Servicio de AWS Tipos de recurso

Amazon API Gateway

AWS::ApiGateway::Stage, AWS::ApiGatewayV2::Stage

AWS AppSync

AWS::AppSync::GraphQLApi

AWS Backup

AWS::Backup::RecoveryPoint

AWS Certificate Manager(ACM)

AWS::ACM::Certificate

AWS CloudFormation

AWS::CloudFormation::Stack

Amazon CloudFront

AWS::CloudFront::Distribution

Amazon CloudWatch

AWS::CloudWatch::Alarm

AWS CodeBuild

AWS::CodeBuild::Project

AWS Database Migration Service(AWS DMS)

AWS::DMS::Endpoint, AWS::DMS::ReplicationInstance, AWS::DMS::ReplicationTask

Amazon DynamoDB

AWS::DynamoDB::Table

Amazon Elastic Compute Cloud (Amazon EC2)

AWS::EC2::ClientVpnEndpoint, AWS::EC2::EIP, AWS::EC2::Instance, AWS::EC2::LaunchTemplate, AWS::EC2::NetworkAcl, AWS::EC2::NetworkInterface, AWS::EC2::SecurityGroup, AWS::EC2::Subnet, AWS::EC2::TransitGateway, AWS::EC2::VPNConnection, AWS::EC2::Volume

Amazon EC2 Auto Scaling

AWS::AutoScaling::AutoScalingGroup, AWS::AutoScaling::LaunchConfiguration

Amazon Elastic Container Registry (Amazon ECR)

AWS::ECR::Repository

Amazon Elastic Container Service (Amazon ECS)

AWS::ECS::Cluster, AWS::ECS::Service, AWS::ECS::TaskDefinition

Amazon Elastic File System (Amazon EFS)

AWS::EFS::AccessPoint

Amazon Elastic Kubernetes Service (Amazon EKS)

AWS::EKS::Cluster

AWS Elastic Beanstalk

AWS::ElasticBeanstalk::Environment

Elastic Load Balancing

AWS::ElasticLoadBalancing::LoadBalancer, AWS::ElasticLoadBalancingV2::Listener, AWS::ElasticLoadBalancingV2::LoadBalancer

Amazon ElasticSearch

AWS::Elasticsearch::Domain

Amazon EMR

AWS::EMR::SecurityConfiguration

Amazon EventBridge

AWS::Events::Endpoint, AWS::Events::EventBus

AWS Glue

AWS::Glue::Job

AWS Identity and Access Management(IAM)

AWS::IAM::Group, AWS::IAM::Policy, AWS::IAM::Role, AWS::IAM::User

AWS Key Management Service(AWS KMS)

AWS::KMS::Alias, AWS::KMS::Key

Amazon Kinesis

AWS::Kinesis::Stream

AWS Lambda

AWS::Lambda::Function

Amazon Managed Streaming for Apache Kafka (Amazon MSK)

AWS::MSK::Cluster

Amazon MQ

AWS::AmazonMQ::Broker

AWS Network Firewall

AWS::NetworkFirewall::Firewall, AWS::NetworkFirewall::FirewallPolicy, AWS::NetworkFirewall::RuleGroup

OpenSearch Servicio Amazon

AWS::OpenSearch::Domain

Amazon Relational Database Service (Amazon RDS)

AWS::RDS::DBCluster, AWS::RDS::DBClusterSnapshot, AWS::RDS::DBInstance, AWS::RDS::DBSnapshot, AWS::RDS::EventSubscription

Amazon Redshift

AWS::Redshift::Cluster, AWS::Redshift::ClusterSubnetGroup

Amazon Route 53

AWS::Route53::HostedZone

Amazon Simple Storage Service (Amazon S3)

AWS::S3::AccessPoint, AWS::S3::AccountPublicAccessBlock, AWS::S3::Bucket

AWS Service Catalog

AWS::ServiceCatalog::Portfolio

Amazon Simple Notification Service (Amazon SNS)

AWS::SNS::Topic

Amazon Simple Queue Service (Amazon SQS)

AWS::SQS::Queue
Amazon EC2 Systems Manager (SSM)

AWS::SSM::AssociationCompliance, AWS::SSM::ManagedInstanceInventory, AWS::SSM::PatchCompliance

Amazon SageMaker AI

AWS::SageMaker::NotebookInstance

AWS Secrets Manager

AWS::SecretsManager::Secret

AWS Transfer Family

AWS::Transfer::Connector

AWS WAF

AWS::WAF::Rule, AWS::WAF::RuleGroup, AWS::WAF::WebACL, AWS::WAFRegional::Rule, AWS::WAFRegional::RuleGroup, AWS::WAFRegional::WebACL, AWS::WAFv2::RuleGroup, AWS::WAFv2::WebACL

Cómo determinar qué controles se aplican al estándar

La siguiente lista especifica los controles que admiten los requisitos del NIST SP 800-53 revisión 5 y se aplican al estándar NIST SP 800-53 revisión 5 en Security Hub AWS CSPM. Para ver los detalles sobre los requisitos específicos que admite un control, seleccione el control. Luego, consulte el campo Requisitos relacionados en los detalles del control. Este campo especifica cada requisito de NIST que admite el control. Si el campo no especifica un requisito concreto de NIST, el control no admite ese requisito.