Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
NIST SP 800-171, révision 2 dans Security Hub CSPM
La publication spéciale 800-171 révision 2 du NIST (NIST SP 800-171 Rev. 2) est un cadre de cybersécurité et de conformité développé par le National Institute of Standards and Technology (NIST), une agence qui fait partie du département du commerce des États-Unis. Ce cadre de conformité fournit des exigences de sécurité recommandées pour protéger la confidentialité des informations contrôlées non classifiées dans les systèmes et les organisations qui ne font pas partie du gouvernement fédéral américain. Les informations contrôlées non classifiées, également appelées CUI, sont des informations sensibles qui ne répondent pas aux critères de classification gouvernementaux mais qui doivent être protégées. Il s'agit d'informations considérées comme sensibles créées ou détenues par le gouvernement fédéral américain ou par d'autres entités pour le compte du gouvernement fédéral américain.
Le NIST SP 800-171 Rev. 2 fournit des exigences de sécurité recommandées pour protéger la confidentialité du CUI lorsque :
-
Les informations se trouvent dans des systèmes et des organisations non fédéraux,
-
L'organisation non fédérale ne collecte ni ne conserve d'informations pour le compte d'un organisme fédéral, ni n'utilise ou n'exploite un système pour le compte d'un organisme, et
-
Il n'existe aucune exigence de sauvegarde spécifique pour protéger la confidentialité des CUI prescrite par la loi habilitante, la réglementation ou la politique gouvernementale pour la catégorie CUI répertoriée dans le registre CUI.
Les exigences s'appliquent à tous les composants des systèmes et organisations non fédéraux qui traitent, stockent ou transmettent les CUI, ou fournissent une protection de sécurité pour les composants. Pour plus d'informations, consultez le NIST SP 800-171 Rev. 2
AWS Security Hub Cloud Security Posture Management (CSPM) fournit des contrôles de sécurité qui répondent à un sous-ensemble des exigences du NIST SP 800-171 Revision 2. Les contrôles effectuent des contrôles de sécurité automatisés pour certaines Services AWS ressources. Pour activer et gérer ces contrôles, vous pouvez activer le framework NIST SP 800-171 Revision 2 en tant que norme dans Security Hub CSPM. Notez que les commandes ne sont pas compatibles avec les exigences du NIST SP 800-171 révision 2 qui nécessitent des vérifications manuelles.
Rubriques
Configuration de l'enregistrement des ressources pour les contrôles qui s'appliquent à la norme
Pour optimiser la couverture et la précision des résultats, il est important d'activer et de configurer l'enregistrement des ressources AWS Config avant d'activer la norme NIST SP 800-171 Revision 2 dans AWS Security Hub Cloud Security Posture Management (CSPM). Lorsque vous configurez l'enregistrement des ressources, veillez également à l'activer pour tous les types de AWS ressources contrôlés par les contrôles applicables à la norme. Sinon, Security Hub CSPM risque de ne pas être en mesure d'évaluer les ressources appropriées et de générer des résultats précis pour les contrôles applicables à la norme.
Pour plus d'informations sur la manière dont Security Hub CSPM utilise l'enregistrement des ressources dans AWS Config, consultez. Activation et configuration AWS Config pour Security Hub CSPM Pour plus d'informations sur la configuration de l'enregistrement des ressources dans AWS Config, voir Utilisation de l'enregistreur de configuration dans le Guide du AWS Config développeur.
Le tableau suivant indique les types de ressources à enregistrer pour les contrôles qui s'appliquent à la norme NIST SP 800-171 Revision 2 dans Security Hub CSPM.
| Service AWS | Types de ressources |
|---|---|
| AWS Certificate Manager(ACM) |
|
| Amazon API Gateway |
|
| Amazon CloudFront |
|
| Amazon CloudWatch |
|
| Amazon Elastic Compute Cloud (Amazon EC2) |
|
| Elastic Load Balancing |
|
| AWS Identity and Access Management(JE SUIS) |
|
| AWS Key Management Service (AWS KMS) |
|
| AWS Network Firewall |
|
| Amazon Simple Storage Service (Amazon S3) |
|
| Amazon Simple Notification Service (Amazon SNS) |
|
| AWS Systems Manager(SSM) |
|
| AWS WAF |
|
Déterminer quels contrôles s'appliquent à la norme
La liste suivante indique les contrôles qui répondent aux exigences du NIST SP 800-171 Revision 2 et s'appliquent à la norme NIST SP 800-171 Revision 2 dans Security Hub AWS Cloud Security Posture Management (CSPM). Pour plus de détails sur les exigences spécifiques prises en charge par un contrôle, choisissez le contrôle. Reportez-vous ensuite au champ Exigences connexes dans les détails du contrôle. Ce champ indique chaque exigence NIST prise en charge par le contrôle. Si le champ ne spécifie aucune exigence NIST particulière, le contrôle ne prend pas en charge cette exigence.
-
[ACM.1] Les certificats importés et émis par ACM doivent être renouvelés après une période spécifiée
-
[CloudFront.7] les CloudFront distributions doivent utiliser des certificats SSL/TLS personnalisés
-
[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé
-
[CloudTrail.3] Au moins une CloudTrail piste doit être activée
-
[CloudTrail.4] La validation du fichier CloudTrail journal doit être activée
-
[CloudWatch.15] les CloudWatch alarmes doivent avoir des actions spécifiées configurées
-
[EC2.6] La journalisation des flux VPC doit être activée dans tous les cas VPCs
-
[EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées
-
[EC2.20] Les deux tunnels VPN pour une connexion AWS Site-to-Site VPN doivent être actifs
-
[EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou 3389
-
[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges d'administrateur « * » complets
-
[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM
-
[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées
-
[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule
-
[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule
-
[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole
-
[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre
-
[IAM.16] Vérifier que la politique de mot de passe IAM empêche la réutilisation d'un mot de passe
-
[IAM.18] Vérifier qu'un rôle de support a été créé pour gérer les incidents avec AWS Support
-
[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM
-
[NetworkFirewall.2] La journalisation du Network Firewall doit être activée
-
[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide
-
[S3.14] La gestion des versions des compartiments S3 à usage général devrait être activée
-
[S3.17] Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys
-
[SNS.1] Les sujets SNS doivent être chiffrés au repos à l'aide de AWS KMS
-
Les AWS WAF règles [WAF.12] doivent avoir des métriques activées CloudWatch
