Security Hub CSPM의 NIST SP 800-53 개정 5 - AWS Security Hub
표준에 대한 리소스 기록 구성표준에 적용되는 제어 결정

Security Hub CSPM의 NIST SP 800-53 개정 5

NIST 특별 간행물 800-53 개정 5(NIST SP 800-53 개정 5)는 미국 상무부 산하 기관인 국립 표준 기술 연구소(NIST)에서 개발한 사이버 보안 및 규정 준수 프레임워크입니다. 이 규정 준수 프레임워크는 정보 시스템 및 중요 리소스의 기밀성, 무결성, 가용성을 보호하기 위한 보안 및 개인 정보 보호 요구 사항의 카탈로그를 제공합니다. 미국 연방 정부 기관 및 계약업체는 시스템 및 조직을 보호하기 위해 이러한 요구 사항을 준수해야 합니다. 또한 민간 조직도 사이버 보안 위험을 줄이기 위한 지침 프레임워크로 해당 요구 사항을 자발적으로 사용할 수 있습니다. 이 프레임워크 및 해당 요구 사항에 대한 자세한 내용은 NIST 컴퓨터 보안 리소스 센터에서 NIST SP 800-53 개정 5를 참조하세요.

AWS Security Hub CSPM은 NIST SP 800-53 개정 5 요구 사항의 하위 집합을 지원하는 보안 제어를 제공합니다. 제어는 특정 AWS 서비스 및 리소스에 대한 자동 보안 검사를 수행합니다. 이러한 제어를 활성화하고 관리하기 위해 Security Hub CSPM에서 NIST SP 800-53 개정 5 프레임워크를 표준으로 활성화할 수 있습니다. Security Hub CSPM 제어는 수동 검사가 필요한 NIST SP 800-53 개정 5 요구 사항을 지원하지 않습니다.

다른 프레임워크와 달리 NIST SP 800-53 개정 5 프레임워크는 요구 사항 평가 방법에 대한 규범이 아닙니다. 대신, 이 프레임워크는 지침을 제공합니다. Security Hub CSPM에서 NIST SP 800-53 개정 5 표준 및 제어는 이러한 지침에 대한 서비스의 이해를 나타냅니다.

표준에 적용되는 제어에 대한 리소스 기록 구성

조사 결과의 적용 범위 및 정확도를 최적화하려면 AWS Security Hub CSPM에서 NIST SP 800-53 개정 5 표준을 활성화하기 전에 AWS Config에서 리소스 기록을 활성화하고 구성하는 것이 중요합니다. 리소스 기록을 구성할 때는 표준에 적용되는 제어에서 확인하는 모든 유형의 AWS 리소스에도 리소스 기록을 활성화해야 합니다. 이는 주로 변경 트리거 일정 유형을 사용하는 제어에 필요합니다. 그러나 일정 유형이 주기적인 일부 제어에도 리소스 기록이 필요합니다. 리소스 기록이 활성화되지 않았거나 제대로 구성되지 않은 경우 Security Hub CSPM은 적절한 리소스를 평가하고 표준에 적용되는 제어에 대한 정확한 결과를 생성하지 못할 수 있습니다.

Security Hub CSPM이 AWS Config에서 리소스 기록을 사용하는 방법에 대한 자세한 내용은 Security Hub CSPM에서 AWS Config 활성화 및 구성 섹션을 참조하세요. AWS Config에서 리소스 기록을 구성하는 방법에 대한 자세한 내용은 AWS Config 개발자 안내서구성 레코더 작업을 참조하세요.

다음 표에서는 Security Hub CSPM의 NIST SP 800-53 개정 5 표준에 적용되는 제어에 대해 기록할 리소스 유형을 보여줍니다.

AWS 서비스 리소스 유형

Amazon API Gateway

AWS::ApiGateway::Stage, AWS::ApiGatewayV2::Stage

AWS AppSync

AWS::AppSync::GraphQLApi

AWS Backup

AWS::Backup::RecoveryPoint

AWS Certificate Manager (ACM)

AWS::ACM::Certificate

AWS CloudFormation

AWS::CloudFormation::Stack

Amazon CloudFront

AWS::CloudFront::Distribution

Amazon CloudWatch

AWS::CloudWatch::Alarm

AWS CodeBuild

AWS::CodeBuild::Project

AWS Database Migration Service (AWS DMS)

AWS::DMS::Endpoint, AWS::DMS::ReplicationInstance, AWS::DMS::ReplicationTask

Amazon DynamoDB

AWS::DynamoDB::Table

Amazon Elastic Compute Cloud(Amazon EC2)

AWS::EC2::ClientVpnEndpoint, AWS::EC2::EIP, AWS::EC2::Instance, AWS::EC2::LaunchTemplate, AWS::EC2::NetworkAcl, AWS::EC2::NetworkInterface, AWS::EC2::SecurityGroup, AWS::EC2::Subnet, AWS::EC2::TransitGateway, AWS::EC2::VPNConnection, AWS::EC2::Volume

Amazon EC2 Auto Scaling

AWS::AutoScaling::AutoScalingGroup, AWS::AutoScaling::LaunchConfiguration

Amazon Elastic Container Registry(Amazon ECR)

AWS::ECR::Repository

Amazon Elastic Container Service(Amazon ECS)

AWS::ECS::Cluster, AWS::ECS::Service, AWS::ECS::TaskDefinition

Amazon Elastic File System(Amazon EFS)

AWS::EFS::AccessPoint

Amazon Elastic Kubernetes Service(Amazon EKS)

AWS::EKS::Cluster

AWS Elastic Beanstalk

AWS::ElasticBeanstalk::Environment

Elastic Load Balancing

AWS::ElasticLoadBalancing::LoadBalancer, AWS::ElasticLoadBalancingV2::Listener, AWS::ElasticLoadBalancingV2::LoadBalancer

Amazon ElasticSearch

AWS::Elasticsearch::Domain

Amazon EMR

AWS::EMR::SecurityConfiguration

Amazon EventBridge

AWS::Events::Endpoint, AWS::Events::EventBus

AWS Glue

AWS::Glue::Job

AWS Identity and Access Management (IAM)

AWS::IAM::Group, AWS::IAM::Policy, AWS::IAM::Role, AWS::IAM::User

AWS Key Management Service (AWS KMS)

AWS::KMS::Alias, AWS::KMS::Key

Amazon Kinesis

AWS::Kinesis::Stream

AWS Lambda

AWS::Lambda::Function

Amazon Managed Streaming for Apache Kafka(Amazon MSK)

AWS::MSK::Cluster

Amazon MQ

AWS::AmazonMQ::Broker

AWS Network Firewall

AWS::NetworkFirewall::Firewall, AWS::NetworkFirewall::FirewallPolicy, AWS::NetworkFirewall::RuleGroup

Amazon OpenSearch Service

AWS::OpenSearch::Domain

Amazon Relational Database Service(Amazon RDS)

AWS::RDS::DBCluster, AWS::RDS::DBClusterSnapshot, AWS::RDS::DBInstance, AWS::RDS::DBSnapshot, AWS::RDS::EventSubscription

Amazon Redshift

AWS::Redshift::Cluster, AWS::Redshift::ClusterSubnetGroup

Amazon Route 53

AWS::Route53::HostedZone

Amazon Simple Storage Service(S3)

AWS::S3::AccessPoint, AWS::S3::AccountPublicAccessBlock, AWS::S3::Bucket

AWS Service Catalog

AWS::ServiceCatalog::Portfolio

Amazon Simple Notification Service(SNS)

AWS::SNS::Topic

Amazon Simple Queue Service(Amazon SQS)

AWS::SQS::Queue
Amazon EC2 Systems Manager(SSM)

AWS::SSM::AssociationCompliance, AWS::SSM::ManagedInstanceInventory, AWS::SSM::PatchCompliance

Amazon SageMaker AI

AWS::SageMaker::NotebookInstance

AWS Secrets Manager

AWS::SecretsManager::Secret

AWS Transfer Family

AWS::Transfer::Connector

AWS WAF

AWS::WAF::Rule, AWS::WAF::RuleGroup, AWS::WAF::WebACL, AWS::WAFRegional::Rule, AWS::WAFRegional::RuleGroup, AWS::WAFRegional::WebACL, AWS::WAFv2::RuleGroup, AWS::WAFv2::WebACL

표준에 적용되는 제어 결정

다음 목록에서는 NIST SP 800-53 개정 5 요구 사항을 지원하고 AWS Security Hub CSPM의 NIST SP 800-53 개정 5 표준에 적용되는 제어를 보여줍니다. 제어가 지원하는 특정 요구 사항에 대한 세부 정보를 보려면 해당 제어를 선택합니다. 그런 다음 제어 세부 정보에서 관련 요구 사항 필드를 참조하세요. 이 필드는 제어가 지원하는 각 NIST 요구 사항을 표시합니다. 필드에 특정 NIST 요구 사항이 지정되지 않은 경우 제어가 요구 사항을 지원하지 않는 것입니다.