Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
NIST SP 800-53 revisión 5 en Security Hub CSPM
La publicación especial 800-53 del NIST, revisión 5 (NIST SP 800-53 rev. 5) es un marco de ciberseguridad y cumplimiento desarrollado por el Instituto Nacional de Estándares y Tecnología (NIST), una agencia que forma parte del Departamento de Comercio de los Estados Unidos. Este marco de cumplimiento proporciona un catálogo de requisitos de seguridad y privacidad para proteger la confidencialidad, integridad y disponibilidad de los sistemas de información y los recursos críticos. Las agencias del gobierno federal de EE. UU. y los contratistas deben cumplir con estos requisitos para proteger sus sistemas y organizaciones. Las organizaciones privadas también pueden utilizar voluntariamente los requisitos como marco orientativo para reducir el riesgo de ciberseguridad. Para obtener más información sobre el marco y sus requisitos, consulte la norma NIST SP 800-53 Rev. 5
AWS Security Hub Cloud Security Posture Management (CSPM) proporciona controles de seguridad que admiten un subconjunto de los requisitos de la revisión 5 del NIST SP 800-53. Los controles realizan comprobaciones de seguridad automatizadas para determinados recursos. Servicios de AWS Para habilitar y administrar estos controles, puede habilitar el marco NIST SP 800-53 Revision 5 como estándar en Security Hub CSPM. Tenga en cuenta que los controles no son compatibles con los requisitos de la revisión 5 del NIST SP 800-53, que requieren comprobaciones manuales.
A diferencia de otros marcos, el marco de la revisión 5 del NIST SP 800-53 no es prescriptivo sobre cómo deben evaluarse sus requisitos. En cambio, el marco proporciona pautas. En Security Hub CSPM, el estándar NIST SP 800-53 revisión 5 y los controles representan la comprensión del servicio de estas pautas.
Temas
Configurar el registro de recursos para los controles que se aplican al estándar
Para optimizar la cobertura y la precisión de los hallazgos, es importante habilitar y configurar el registro de recursos AWS Config antes de habilitar el estándar NIST SP 800-53 revisión 5 en AWS Security Hub Cloud Security Posture Management (CSPM). Cuando configure el registro de recursos, asegúrese también de habilitarlo para todos los tipos de AWS recursos que se comprueban mediante los controles que se aplican a la norma. Esto se aplica principalmente a los controles que tienen un tipo de programa activado por cambios. Sin embargo, algunos controles con un tipo de programación periódica también requieren el registro de recursos. Si el registro de recursos no está habilitado o configurado correctamente, es posible que Security Hub CSPM no pueda evaluar los recursos adecuados ni generar resultados precisos para los controles que se aplican al estándar.
Para obtener información sobre cómo Security Hub CSPM utiliza el registro de recursos AWS Config, consulte. Habilitación y configuración AWS Config de Security Hub CSPM Para obtener información sobre cómo configurar el registro de recursos en AWS Config, consulte Trabajar con el grabador de configuración en la Guía AWS Config para desarrolladores.
En la siguiente tabla se especifican los tipos de recursos que se van a registrar para los controles que se aplican al estándar NIST SP 800-53, revisión 5, en Security Hub CSPM.
Servicio de AWS | Tipos de recurso |
---|---|
Amazon API Gateway |
|
AWS AppSync |
|
AWS Backup |
|
AWS Certificate Manager (ACM) |
|
AWS CloudFormation |
|
Amazon CloudFront |
|
Amazon CloudWatch |
|
AWS CodeBuild |
|
AWS Database Migration Service (AWS DMS) |
|
Amazon DynamoDB |
|
Amazon Elastic Compute Cloud (Amazon EC2) |
|
Amazon EC2 Auto Scaling |
|
Amazon Elastic Container Registry (Amazon ECR) |
|
Amazon Elastic Container Service (Amazon ECS) |
|
Amazon Elastic File System (Amazon EFS) |
|
Amazon Elastic Kubernetes Service (Amazon EKS) |
|
AWS Elastic Beanstalk |
|
Elastic Load Balancing |
|
Amazon ElasticSearch |
|
Amazon EMR |
|
Amazon EventBridge |
|
AWS Glue |
|
AWS Identity and Access Management (IAM) |
|
AWS Key Management Service (AWS KMS) |
|
Amazon Kinesis |
|
AWS Lambda |
|
Amazon Managed Streaming for Apache Kafka (Amazon MSK) |
|
Amazon MQ |
|
AWS Network Firewall |
|
OpenSearch Servicio Amazon |
|
Amazon Relational Database Service (Amazon RDS) |
|
Amazon Redshift |
|
Amazon Route 53 |
|
Amazon Simple Storage Service (Amazon S3) |
|
AWS Service Catalog |
|
Amazon Simple Notification Service (Amazon SNS) |
|
Amazon Simple Queue Service (Amazon SQS) |
|
Amazon EC2 Systems Manager (SSM) |
|
Amazon SageMaker AI |
|
AWS Secrets Manager |
|
AWS Transfer Family |
|
AWS WAF |
|
Determinar qué controles se aplican a la norma
La siguiente lista especifica los controles que cumplen con los requisitos del NIST SP 800-53 revisión 5 y que se aplican al estándar NIST SP 800-53 revisión 5 en Security Hub AWS Cloud Security Posture Management (CSPM). Para obtener información detallada sobre los requisitos específicos que admite un control, seleccione el control. A continuación, consulte el campo Requisitos relacionados en los detalles del control. Este campo especifica cada requisito del NIST que admite el control. Si el campo no especifica un requisito concreto del NIST, el control no lo admite.
-
[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS
-
[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations
-
[APIGateway.1] El registro de ejecución de WebSocket REST y API de API Gateway debe estar habilitado
-
[APIGateway.3] Las etapas de la API de REST de API Gateway tener AWS X-Ray habilitado el rastreo
-
[APIGateway.4] La API Gateway debe estar asociada a una ACL web de WAF
-
[APIGateway.5] Los datos de la caché de la API de REST de API Gateway deben cifrarse en reposo
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway
-
[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves de API
-
[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad
-
[Backup.1] Los puntos AWS Backup de recuperación deben cifrarse en reposo
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deben requerir el cifrado en tránsito
-
[CloudFront5] CloudFront las distribuciones deben tener el registro habilitado
-
[CloudFront.6] CloudFront Las distribuciones deben tener WAF habilitado
-
[CloudFront.7] CloudFront Las distribuciones deben usar certificados SSL/TLS personalizados
-
[CloudFront.8] CloudFront Las distribuciones deben usar SNI para atender solicitudes HTTPS
-
[CloudFront.9] CloudFront Las distribuciones deben cifrar el tráfico hacia orígenes personalizados
-
[CloudFront.12] CloudFront Las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudTrail.2] CloudTrail debe tener habilitado el cifrado en reposo
-
[CloudTrail.4] La validación de archivo de CloudTrail registro debe estar habilitada
-
[CloudTrail.5] CloudTrail Los senderos deben estar integrados con Amazon Logs CloudWatch
-
[CloudWatch.15] CloudWatch las alarmas deben tener configuradas acciones específicas
-
[CloudWatch.16] Los grupos de CloudWatch registros deben retenerse durante un periodo específico
-
[CloudWatch.17] las acciones CloudWatch de alarma deben estar activadas
-
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
-
[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo
-
[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas
-
[DMS.12] Los puntos de conexión de DMS para Redis OSS deben tener el TLS habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DynamoDB.2] Las tablas de DynamoDB deben tener habilitada la recuperación point-in-time
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad
-
[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada
-
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
-
[EC2.1] Las instantáneas de Amazon EBS no se deben poder restaurar públicamente
-
[EC2.3] Los volúmenes de Amazon EBS asociados deben cifrarse en reposo
-
[EC24] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.6] El registro de flujos de VPC debe estar habilitado en todos VPCs
-
[EC2.7] El cifrado predeterminado de EBS debe estar activado
-
[EC2.8] EC2 las instancias deben usar la versión 2 del servicio de metadatos de instancias IMDSv2
-
[EC2.9] EC2 Las instancias de Amazon no deben tener una dirección pública IPv4
-
[EC215] EC2 Las subredes de Amazon no deben asignar automáticamente direcciones IP públicas
-
[EC2.16] Deben eliminarse las listas de control de acceso a la red no utilizadas
-
[EC2.17] EC2 Las instancias de Amazon no deberían usar múltiples ENIs
-
[EC219] Los grupos de seguridad no deben permitir el acceso irrestricto a los puertos de alto riesgo
-
[EC220] Ambos túneles de VPN de una conexión de AWS Site-to-Site VPN deben estar activos
-
[EC2.21] La red no ACLs debe permitir la entrada desde 0.0.0/0 al puerto 22 o al puerto 3389
-
[EC224] No se deben utilizar los tipos de instancias EC2 paravirtuales de Amazon
-
[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de copias de seguridad
-
[EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR
-
[EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry
-
[EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager
-
[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager
-
[ECR.1] Los repositorios privados del ECR deben tener configurado el escaneo de imágenes
-
[ECR.2] Los repositorios privados de ECR deben tener configurada la inmutabilidad de etiquetas
-
[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida
-
[ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el cliente AWS KMS keys
-
[ECS.2] Los servicios de ECS no deberían tener direcciones IP públicas asignadas automáticamente
-
[ECS.4] Los contenedores de ECS deben ejecutarse sin privilegios
-
[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor
-
[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro
-
[ECS.17] Las definiciones de tareas de ECS no deben utilizar el modo de red host
-
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
-
[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz
-
[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario
-
[EFS.6] Los destinos de montaje de EFS no deben estar asociados a una subred pública
-
[EKS.1] Los puntos de enlace del clúster EKS no deben ser de acceso público
-
[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión de Kubernetes compatible
-
[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados
-
[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría
-
[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo
-
[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[ELB.7] Los equilibradores de carga clásicos deberían tener habilitado el drenaje de conexiones
-
[ELB.10] Equilibrador de carga clásico debe abarcar varias zonas de disponibilidad
-
[ELB.16] Los equilibradores de carga de aplicaciones deben estar asociados a una ACL web de AWS WAF
-
[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas
-
[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada
-
[EMR.3] Las configuraciones de seguridad de Amazon EMR deben cifrarse en reposo
-
[EMR.4] Las configuraciones de seguridad de Amazon EMR deben cifrarse en tránsito
-
[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo
-
[ES.2] Los dominios de Elasticsearch no deben ser de acceso público
-
[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos
-
[ES.5] Los dominios de Elasticsearch deben tener habilitado el registro de auditoría
-
[ES.6] Los dominios de Elasticsearch deben tener al menos tres nodos de datos
-
[ES.7] Los dominios de Elasticsearch deben configurarse con al menos tres nodos maestros dedicados
-
[Glue.4] Los trabajos de AWS Glue Spark deberían ejecutarse en versiones compatibles de AWS Glue
-
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”
-
[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas
-
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
-
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
-
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz
-
[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras
-
[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas
-
[IAM.19] MFA se debe habilitar para todos los usuarios de IAM
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[Lambda.1] Las políticas de función de Lambda deberían prohibir el acceso público
-
[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos
-
[Lambda.5] Las funciones de Lambda de la VPC deben funcionar en varias zonas de disponibilidad
-
[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada
-
[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos intermediarios
-
[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada
-
[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch
-
[MQ.5] Los corredores ActiveMQ deben usar el modo de implementación activo/en espera
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
El grupo de reglas de Stateless Network Firewall [NetworkFirewall.6] no debe estar vacío
-
Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo
-
Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público
-
Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos
-
El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado
-
Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría
-
Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos
-
Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado
-
Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software
-
Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados
-
La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada
-
[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo
-
Las instantáneas de clústeres y bases de datos de RDS [RDS.4] deben cifrarse cuando están inactivas
-
Las instancias de base de datos de RDS [RDS.5] deben configurarse con varias zonas de disponibilidad
-
Se debe configurar una supervisión mejorada para las instancias de base de datos de RDS [RDS.6]
-
Los clústeres de RDS [RDS.7] deben tener habilitada la protección contra la eliminación
-
[RDS.9] Las instancias de base de datos de RDS deben publicar los registros en Logs CloudWatch
-
La autenticación de IAM [RDS.10] debe configurarse para las instancias de RDS
-
Las instancias RDS [RDS.11] deben tener habilitadas las copias de seguridad automáticas
-
La autenticación de IAM [RDS.12] debe configurarse para los clústeres de RDS
-
Las actualizaciones automáticas de las versiones secundarias de RDS [RDS.13] deben estar habilitadas
-
Las instancias RDS [RDS.23] no deben usar el puerto predeterminado de un motor de base de datos
-
Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo
-
[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público
-
Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito
-
Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas
-
Los clústeres de Amazon Redshift [Redshift.4] deben tener habilitado el registro de auditoría
-
Los clústeres de Redshift [Redshift.7] deberían utilizar un enrutamiento de VPC mejorado
-
Los clústeres de Redshift [Redshift.9] no deben usar el nombre de base de datos predeterminado
-
Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público
-
[S3.2] Los buckets de uso general de S3 deben bloquear el acceso público de lectura
-
[S3.3] Los buckets de uso general de S3 deben bloquear el acceso público de escritura
-
[S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL
-
[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones
-
[S3.8] Los buckets de uso general de S3 deben bloquear el acceso público
-
[S3.9] Los buckets de uso general de S3 deben tener habilitado el registro de acceso al servidor
-
[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos
-
[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida
-
[S3.14] Los buckets de uso general de S3 deben tener habilitado el control de versiones
-
[S3.15] Los buckets de uso general de S3 deben tener habilitado el bloqueo de objetos
-
[S3.17] Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys
-
[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA
-
[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada
-
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
-
[SecretsManager.1] Los secretos de Secrets Manager deberían tener habilitada la rotación automática
-
[SecretsManager.3] Eliminar los secretos de Secrets Manager no utilizados
-
[SecretsManager.4] Los secretos de Secrets Manager deben rotarse en un número específico de días
-
[SNS.1] Los temas de SNS deben cifrarse en reposo mediante AWS KMS
-
[SSM.1] EC2 Las instancias de Amazon deben administrarse mediante AWS Systems Manager
-
[Transfer.3] Los conectores Transfer Family deben tener habilitado el registro
-
El registro AWS WAF Classic Global Web ACL de [WAF.1] debe estar habilitado
-
Las reglas de [WAF.2] Regionales AWS WAF clásicas deben tener al menos una condición
-
Los grupos de reglas de [WAF.3] Regionales AWS WAF clásicos deben tener al menos una regla
-
La web de [WAF.4] Regionales AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
-
Las reglas globales de [WAF.6] AWS WAF clásicas deben tener al menos una condición
-
Los grupos de reglas globales de [WAF.7] AWS WAF clásicos deben tener al menos una regla
-
La web de [WAF.8] global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
-
La AWS WAF web de [WAF.10] ACLs debe tener al menos una regla o grupo de reglas
-
El registro de ACL AWS WAF web de [WAF.11] debe estar habilitado
-
AWS WAF Las reglas de [WAF.12] deben tener habilitadas las métricas CloudWatch