NIST 800 172 操作最佳实践
合规包提供了一个通用合规框架,旨在使您能够使用托管或自定义 AWS Config 规则和 AWS Config 补救措施来创建安全、运营或成本优化治理检查。作为示例模板,合规包并不是为了完全确保遵守特定的治理或合规标准而设计的。您有责任自行评估自己对服务的使用是否符合适用的法律和监管要求。
下面提供了 NIST 800-172 和 AWS 托管 Config 规则之间的映射示例。每条 Config 规则都适用于特定的 AWS 资源,并与一个或多个 NIST 800-172 控制相关。一个 NIST 800-172 控制可以与多个 Config 规则相关联。有关这些映射的更多详细信息和指导,请参阅下表。
| 控制 ID | 控制描述 | AWS Config 规则 | 指南 |
|---|---|---|---|
| 3.1.3e | 使用 [分配:组织定义的安全信息传输解决方案] 来控制互联系统上安全域之间的信息流动。 | 确保您的 Elastic Load Balancers (ELB) 已配置为丢弃 http 标头。由于可能存在敏感数据,因此应启用传输中加密以帮助保护这些数据。 | |
| 3.1.3e | 使用 [分配:组织定义的安全信息传输解决方案] 来控制互联系统上安全域之间的信息流动。 | 为帮助保护传输中的数据,请确保应用负载均衡器自动将未加密的 HTTP 请求重定向到 HTTPS。由于可能存在敏感数据,因此应启用传输中加密以帮助保护这些数据。 | |
| 3.1.3e | 使用 [分配:组织定义的安全信息传输解决方案] 来控制互联系统上安全域之间的信息流动。 | 确保 Amazon API Gateway REST API 阶段配置了 SSL 证书,以允许后端系统验证请求来自 API Gateway。 | |
| 3.1.3e | 使用 [分配:组织定义的安全信息传输解决方案] 来控制互联系统上安全域之间的信息流动。 | 确保 Amazon OpenSearch Service 启用了节点到节点加密。利用节点到节点加密,将能够为 Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信启用 TLS 1.2 加密。由于可能存在敏感数据,因此应启用传输中加密以帮助保护这些数据。 | |
| 3.1.3e | 使用 [分配:组织定义的安全信息传输解决方案] 来控制互联系统上安全域之间的信息流动。 | 由于可能存在敏感数据,并且为了帮助保护传输中的数据,应确保 Elastic Load Balancing 启用了加密。使用 AWS Certificate Manager 通过 AWS 服务和内部资源管理、预置和部署公有和私有 SSL/TLS 证书。 | |
| 3.1.3e | 使用 [分配:组织定义的安全信息传输解决方案] 来控制互联系统上安全域之间的信息流动。 | 确保您的弹性负载均衡器 (ELB) 配置了 SSL 或 HTTPS 侦听器。由于可能存在敏感数据,因此应启用传输中加密以帮助保护这些数据。 | |
| 3.1.3e | 使用 [分配:组织定义的安全信息传输解决方案] 来控制互联系统上安全域之间的信息流动。 | 确保您的 Amazon Redshift 集群需要 TLS/SSL 加密才能连接到 SQL 客户端。由于可能存在敏感数据,因此应启用传输中加密以帮助保护这些数据。 | |
| 3.1.3e | 使用 [分配:组织定义的安全信息传输解决方案] 来控制互联系统上安全域之间的信息流动。 | 为了帮助保护传输中的数据,请确保您的 Amazon Simple Storage Service (Amazon S3) 存储桶需要请求使用安全套接字层 (SSL)。由于可能存在敏感数据,因此应启用传输中加密以帮助保护这些数据。 | |
| 3.1.3e | 使用 [分配:组织定义的安全信息传输解决方案] 来控制互联系统上安全域之间的信息流动。 | 通过确保 DMS 复制实例无法公开访问来管理对 AWS 云的访问。DMS 复制实例可能包含敏感信息,因此需要对此类账户进行访问控制。 | |
| 3.1.3e | 使用 [分配:组织定义的安全信息传输解决方案] 来控制互联系统上安全域之间的信息流动。 | 通过确保 EBS 快照不可公开还原来管理对 AWS 云的访问。EBS 卷快照可能包含敏感信息,因此需要对此类账户进行访问控制。 | |
| 3.1.3e | 使用 [分配:组织定义的安全信息传输解决方案] 来控制互联系统上安全域之间的信息流动。 | 通过确保 Amazon Elastic Compute Cloud (Amazon EC2) 实例无法公开访问来管理对 AWS 云的访问。Amazon EC2 实例可能包含敏感信息,因此需要对此类账户进行访问控制。 | |
| 3.1.3e | 使用 [分配:组织定义的安全信息传输解决方案] 来控制互联系统上安全域之间的信息流动。 | 通过确保 Amazon OpenSearch Service (OpenSearch Service) 域位于 Amazon Virtual Private Cloud (Amazon VPC) 中,来管理对 AWS 云的访问。Amazon VPC 中的 OpenSearch Service 域可实现 Amazon OpenSearch Service 与 Amazon VPC 中其他服务之间的安全通信,而无需互联网网关、NAT 设备或 VPN 连接。 | |
| 3.1.3e | 使用 [分配:组织定义的安全信息传输解决方案] 来控制互联系统上安全域之间的信息流动。 | 通过确保 Amazon EMR 集群主节点无法公开访问来管理对 AWS 云的访问。Amazon EMR 集群主节点可能包含敏感信息,因此需要对此类账户进行访问控制。 | |
| 3.1.3e | 使用 [分配:组织定义的安全信息传输解决方案] 来控制互联系统上安全域之间的信息流动。 | 在 Amazon Virtual Private Cloud (Amazon VPC) 内部署 Amazon Elastic Compute Cloud (Amazon EC2) 实例,以实现实例与 Amazon VPC 内其他服务之间的安全通信,而无需互联网网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全保护。将 Amazon EC2 实例分配给 Amazon VPC 以正确管理访问权限。 | |
| 3.1.3e | 使用 [分配:组织定义的安全信息传输解决方案] 来控制互联系统上安全域之间的信息流动。 | 通过确保 AWS Lambda 函数无法公开访问,来管理对 AWS 云中资源的访问。公开访问可能导致资源可用性下降。 | |
| 3.1.3e | 使用 [分配:组织定义的安全信息传输解决方案] 来控制互联系统上安全域之间的信息流动。 | 在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 AWS Lambda 函数,以便在 Amazon VPC 中的函数和其他服务之间进行安全通信。使用此配置时,不需要互联网网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全保护。为了正确管理访问权限,应将 AWS Lambda 函数分配给 VPC。 | |
| 3.1.3e | 使用 [分配:组织定义的安全信息传输解决方案] 来控制互联系统上安全域之间的信息流动。 | 确保 Amazon EC2 路由表中没有指向互联网网关的无限制路由。移除或限制 Amazon VPC 内工作负载的互联网访问可以减少环境中的意外访问。 | |
| 3.1.3e | 使用 [分配:组织定义的安全信息传输解决方案] 来控制互联系统上安全域之间的信息流动。 | 通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有的,来管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息,因此需要对此类账户实施相应原则和访问控制。 | |
| 3.1.3e | 使用 [分配:组织定义的安全信息传输解决方案] 来控制互联系统上安全域之间的信息流动。 | 通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有的,来管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息,因此需要对此类账户实施相应原则和访问控制。 | |
| 3.1.3e | 使用 [分配:组织定义的安全信息传输解决方案] 来控制互联系统上安全域之间的信息流动。 | 通过确保 Amazon Redshift 集群不是公有的,来管理对 AWS 云中资源的访问。Amazon Redshift 集群可能包含敏感信息,因此需要对此类账户实施相应原则和访问控制。 | |
| 3.1.3e | 使用 [分配:组织定义的安全信息传输解决方案] 来控制互联系统上安全域之间的信息流动。 | 通过确保在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,来管理对 AWS 云中资源的访问。如果不将端口访问限制为可信来源,可能会导致针对系统可用性、完整性和机密性的攻击。此规则允许您选择设置 blockedPort1 - blockedPort5 参数(Config 默认值:20,21,3389,3306,4333)。实际值应反映贵组织的策略。 | |
| 3.1.3e | 使用 [分配:组织定义的安全信息传输解决方案] 来控制互联系统上安全域之间的信息流动。 | 通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶无法公开访问,来管理对 AWS 云中资源的访问。该规则通过防止公众访问,来帮助保护敏感数据免受未经授权的远程用户的访问。此规则允许您选择设置 ignorePublicAcls(Config 默认:True)、blockPublicPolicy(Config 默认值:True)、blockPublicAcls(Config 默认值:True)和 restrictPublicBuckets 参数(Config 默认值:True)。实际值应反映贵组织的策略。 | |
| 3.1.3e | 使用 [分配:组织定义的安全信息传输解决方案] 来控制互联系统上安全域之间的信息流动。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可对 AWS 资源的入口和出口网络流量进行有状态过滤,从而帮助管理网络访问。不允许您资源上的入口(或远程)流量从 0.0.0.0/0 进入端口 22 有助于限制远程访问。 | |
| 3.1.3e | 使用 [分配:组织定义的安全信息传输解决方案] 来控制互联系统上安全域之间的信息流动。 | 通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶无法公开访问,来管理对 AWS 云中资源的访问。该规则通过在存储桶级别防止公众访问,来帮助保护敏感数据免受未经授权的远程用户的访问。 | |
| 3.1.3e | 使用 [分配:组织定义的安全信息传输解决方案] 来控制互联系统上安全域之间的信息流动。 | 通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶,来管理对 AWS 云中资源的访问。访问管理应与数据的分类保持一致。 | |
| 3.1.3e | 使用 [分配:组织定义的安全信息传输解决方案] 来控制互联系统上安全域之间的信息流动。 | 通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶,来管理对 AWS 云中资源的访问。访问管理应与数据的分类保持一致。 | |
| 3.1.3e | 使用 [分配:组织定义的安全信息传输解决方案] 来控制互联系统上安全域之间的信息流动。 | 通过确保 Amazon SageMaker 笔记本不允许直接访问互联网,管理对 AWS 云中资源的访问。通过防止直接访问互联网,您可以防止未经授权的用户访问敏感数据。 | |
| 3.1.3e | 使用 [分配:组织定义的安全信息传输解决方案] 来控制互联系统上安全域之间的信息流动。 | 确保 AWS Systems Manager (SSM) 文档不公开,因为这可能会允许意外访问您的 SSM 文档。公开 SSM 文档可能会公开有关您的账户、资源和内部流程的信息。 | |
| 3.1.3e | 使用 [分配:组织定义的安全信息传输解决方案] 来控制互联系统上安全域之间的信息流动。 | 通过确保 Amazon Virtual Private Cloud (VPC) 子网不会自动分配公有 IP 地址,来管理对 AWS 云的访问。Amazon Elastic Compute Cloud (EC2) 实例在启用此属性的子网中启动时,其主网络接口会分配一个公有 IP 地址。 | |
| 3.1.3e | 使用 [分配:组织定义的安全信息传输解决方案] 来控制互联系统上安全域之间的信息流动。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对 AWS 资源的入口和出口网络流量进行有状态筛选,从而帮助管理网络访问。限制默认安全组上的所有流量有助于限制对 AWS 资源的远程访问。 | |
| 3.1.3e | 使用 [分配:组织定义的安全信息传输解决方案] 来控制互联系统上安全域之间的信息流动。 | 通过确保在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,来管理对 AWS 云中资源的访问。如果不将端口访问限制为可信来源,可能会导致针对系统可用性、完整性和机密性的攻击。通过限制从互联网 (0.0.0.0/0) 访问安全组内的资源,可以控制对内部系统的远程访问。 | |
| 3.1.3e | 使用 [分配:组织定义的安全信息传输解决方案] 来控制互联系统上安全域之间的信息流动。 | 如果您使用公有 IP 地址配置网络接口,则可以从互联网访问这些网络接口的相关资源。EC2 资源不应可公开访问,因为这可能会允许意外地访问您的应用程序或服务器。 | |
| 3.1.3e | 使用 [分配:组织定义的安全信息传输解决方案] 来控制互联系统上安全域之间的信息流动。 | 为了帮助保护应用程序免受 HTTP Desync 漏洞的影响,请确保在应用程序负载均衡器上启用 HTTP Desync 缓解模式。HTTP Desync 问题可能导致请求走私,并使您的应用程序容易受到请求队列或缓存中毒的影响。异步缓解模式包括“监控”、“防御”和“最严格”。默认模式是防御。 | |
| 3.1.3e | 使用 [分配:组织定义的安全信息传输解决方案] 来控制互联系统上安全域之间的信息流动。 | 为了帮助保护应用程序免受 HTTP Desync 漏洞的影响,请确保在应用程序负载均衡器上启用 HTTP Desync 缓解模式。HTTP Desync 问题可能导致请求走私,并使您的应用程序容易受到请求队列或缓存中毒的影响。异步缓解模式包括“监控”、“防御”和“最严格”。默认模式是防御。 | |
| 3.1.3e | 使用 [分配:组织定义的安全信息传输解决方案] 来控制互联系统上安全域之间的信息流动。 | 增强型 VPC 路由会强制群集和数据存储库之间的所有 COPY 和 UNLOAD 流量都通过 Amazon VPC。然后,您可以使用安全组和网络访问控制列表等 VPC 功能,来保护网络流量。还可以使用 VPC 流日志来监控网络流量。 | |
| 3.1.3e | 使用 [分配:组织定义的安全信息传输解决方案] 来控制互联系统上安全域之间的信息流动。 | 由于可能存在敏感数据,并且为了帮助保护传输中的数据,应确保 Elastic Load Balancing 启用了加密。使用 AWS Certificate Manager 通过 AWS 服务和内部资源管理、预置和部署公有和私有 SSL/TLS 证书。 | |
| 3.1.3e | 使用 [分配:组织定义的安全信息传输解决方案] 来控制互联系统上安全域之间的信息流动。 | 由于可能存在敏感数据,并且为了帮助保护传输中数据,应确保为与您的 Amazon OpenSearch Service 域的连接启用 HTTPS。 | |
| 3.1.3e | 使用 [分配:组织定义的安全信息传输解决方案] 来控制互联系统上安全域之间的信息流动。 | 通过确保 Amazon OpenSearch Service 域位于 Amazon Virtual Private Cloud (Amazon VPC) 中,来管理对 AWS 云的访问。Amazon VPC 中的 Amazon OpenSearch Service 域可实现 Amazon OpenSearch Service 与 Amazon VPC 中其他服务之间的安全通信,而无需互联网网关、NAT 设备或 VPN 连接。 | |
| 3.1.3e | 使用 [分配:组织定义的安全信息传输解决方案] 来控制互联系统上安全域之间的信息流动。 | 确保 Amazon OpenSearch Service 启用了节点到节点加密。利用节点到节点加密,将能够为 Amazon Virtual Private Cloud (Amazon VPC) 内的所有通信启用 TLS 1.2 加密。由于可能存在敏感数据,因此应启用传输中加密以帮助保护这些数据。 | |
| 3.1.3e | 使用 [分配:组织定义的安全信息传输解决方案] 来控制互联系统上安全域之间的信息流动。 | 确保实例元数据服务 (IMDS) HTTP PUT 响应仅限于 Amazon Elastic Compute Cloud (Amazon EC2) 实例。在 IMDSv2 中,默认情况下包含密钥令牌的 PUT 响应无法传送到实例之外,因为元数据响应跃点限制设置为 1(Config 默认值)。如果此值大于 1,则令牌可以离开 EC2 实例。 | |
| 3.1.3e | 使用 [分配:组织定义的安全信息传输解决方案] 来控制互联系统上安全域之间的信息流动。 | 网络访问控制列表 (NACL) 中的远程服务器管理端口(例如端口 22 (SSH) 和端口 3389 (RDP))不应设为可公开访问,因为这可能会允许对您的 VPC 内的资源进行意外访问。 | |
| 3.2.1e | [分配:组织定义的频率] 提供认知培训,重点是识别和应对来自社交工程、高级持久威胁行为者、漏洞和可疑行为的威胁;[分配:组织定义的频率] 或在威胁发生重大变化时更新培训。 | security-awareness-program-exists(流程检查) | 为您的组织制定并维护安全认知计划。安全认知计划教育员工如何保护其组织免受各种安全漏洞或事件的侵害。 |
| 3.4.2e | 使用自动化机制来检测配置错误或未经授权的系统组件;检测到这些组件后,[选择(一项或多项):移除组件;将组件置于隔离或补救网络中] 以方便打补丁、重新配置或采取其他缓解措施。 | 启用此规则以帮助识别和记录 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。此规则根据贵组织的政策和程序的要求检查 AWS Systems Manager 中的 Amazon EC2 实例补丁是否合规。 | |
| 3.4.2e | 使用自动化机制来检测配置错误或未经授权的系统组件;检测到这些组件后,[选择(一项或多项):移除组件;将组件置于隔离或补救网络中] 以方便打补丁、重新配置或采取其他缓解措施。 | 为 Amazon Elastic Beanstalk 环境启用受管平台更新可确保安装环境的最新可用平台修复、更新和功能。及时安装补丁是保护系统的最佳实践。 | |
| 3.4.2e | 使用自动化机制来检测配置错误或未经授权的系统组件;检测到这些组件后,[选择(一项或多项):移除组件;将组件置于隔离或补救网络中] 以方便打补丁、重新配置或采取其他缓解措施。 | 此规则可确保 Amazon Redshift 集群具有适合贵组织的首选设置。具体而言,就是确保它们有首选的数据库维护窗口和自动快照保留期。此规则要求您设置 allowVersionUpgrade。默认值为 true。它还允许您选择设置 preferredMaintenanceWindow(默认值为 sat:16:00-sat:16:30)和 automatedSnapshotRetentionPeriod(默认值为 1)。实际值应反映贵组织的策略。 | |
| 3.4.2e | 使用自动化机制来检测配置错误或未经授权的系统组件;检测到这些组件后,[选择(一项或多项):移除组件;将组件置于隔离或补救网络中] 以方便打补丁、重新配置或采取其他缓解措施。 | 启用 Amazon Relational Database Service (RDS) 实例的自动次要版本升级,以确保安装关系数据库管理系统 (RDBMS) 的最新次要版本更新,其中可能包括安全补丁和错误修复。 | |
| 3.4.3e | 使用自动发现和管理工具来维护最新、完整、准确和随时可用的系统组件清单。 | 利用 AWS Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 实例,可以清点组织中的软件平台和应用程序。使用 AWS Systems Manager 提供详细的系统配置、操作系统补丁级别、服务名称和类型、软件安装、应用程序名称、发布者和版本以及有关您的环境的其他详细信息。 | |
| 3.4.3e | 使用自动发现和管理工具来维护最新、完整、准确和随时可用的系统组件清单。 | 根据组织的标准,启用此规则可检查 Amazon EC2 实例停止运行的天数是否超过允许的天数,从而帮助进行 Amazon Elastic Compute Cloud (Amazon EC2) 实例的基线配置。 | |
| 3.4.3e | 使用自动发现和管理工具来维护最新、完整、准确和随时可用的系统组件清单。 | 此规则可确保附加到 Amazon Elastic Compute Cloud (Amazon EC2) 实例上的 Amazon Elastic Block Store 卷在实例终止时标记为删除。如果在附加到 Amazon EBS 卷的实例终止时,卷没有被删除,则可能违反最少功能的概念。 | |
| 3.4.3e | 使用自动发现和管理工具来维护最新、完整、准确和随时可用的系统组件清单。 | 此规则可确保分配给 Amazon Virtual Private Cloud (Amazon VPC) 的弹性 IP 附加到 Amazon Elastic Compute Cloud (Amazon EC2) 实例或正在使用的弹性网络接口。此规则有助于监控您环境中未使用的 EIP。 | |
| 3.4.3e | 使用自动发现和管理工具来维护最新、完整、准确和随时可用的系统组件清单。 | 此规则可确保 Amazon Virtual Private Cloud (VPC) 网络访问控制列表正在使用中。监控未使用的网络访问控制列表有助于准确清点和管理您的环境。 | |
| 3.5.2e | 对于不支持多重身份验证或复杂账户管理的系统和系统组件,采用自动机制生成、保护、轮换和管理密码。 | 身份和凭证是根据组织 IAM 密码策略颁发、管理和验证的。它们符合或超过 NIST SP 800-63 和针对密码强度的 AWS 基础安全最佳实践标准规定的要求。此规则允许您为 IAM 密码策略选择设置 RequireUppercaseCharacters(AWS 基础安全最佳实践值:true)、RequireLowercaseCharacters(AWS 基础安全最佳实践值:true)、RequireSymbols(AWS 基础安全最佳实践值:true)、RequireNumbers(AWS 基础安全最佳实践值:true)、MinimumPasswordLength(AWS 基础安全最佳实践值:14)、PasswordReusePrevention(AWS 基础安全最佳实践值:24)和 MaxPasswordAge(AWS 基础安全最佳实践值:90)。实际值应反映贵组织的策略。 | |
| 3.5.2e | 对于不支持多重身份验证或复杂账户管理的系统和系统组件,采用自动机制生成、保护、轮换和管理密码。 | 此规则可确保 AWS Secrets Manager 机密已启用轮换。定期轮换机密可以缩短机密的有效期,并有可能减少机密泄露时对业务的影响。 | |
| 3.5.2e | 对于不支持多重身份验证或复杂账户管理的系统和系统组件,采用自动机制生成、保护、轮换和管理密码。 | 此规则可确保 AWS Secrets Manager 机密已根据轮换计划成功轮换。定期轮换机密可以缩短机密的有效期,并有可能减少机密泄露时对业务的影响。 | |
| 3.5.2e | 对于不支持多重身份验证或复杂账户管理的系统和系统组件,采用自动机制生成、保护、轮换和管理密码。 | 此规则可确保 AWS Secrets Manager 机密已根据轮换计划成功轮换。定期轮换机密可以缩短机密的有效期,并有可能减少机密泄露时对业务的影响。 | |
| 3.11.1e | 将 [分配:组织定义的威胁情报来源] 作为风险评估的一部分,为组织系统、安全架构、所选安全解决方案、监控、威胁搜寻以及响应和恢复活动的开发提供指导和信息。 | Amazon GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。这些威胁情报源包括恶意 IP 列表和机器学习列表,用于标识您的 AWS 云环境中的意外、未经授权的恶意活动。 | |
| 3.11.2e | 开展网络威胁搜寻活动 [选择(一项或多项):[分配:组织定义的频率];[分配:组织定义的事件]],在 [分配:组织定义的系统] 中搜索入侵指标,并检测、跟踪和破坏逃避现有控制的威胁。 | Amazon GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。这些威胁情报源包括恶意 IP 列表和机器学习列表,用于标识您的 AWS 云环境中的意外、未经授权的恶意活动。 | |
| 3.11.5e | 根据当前和累积的威胁情报,[分配:组织定义的频率] 评估安全解决方案的有效性,以应对组织系统和组织面临的预期风险。 | annual-risk-assessment-performed(流程检查) | 对您的组织进行年度风险评估。风险评估有助于确定已识别的风险和/或漏洞对组织造成影响的可能性和影响。 |
| 3.13.4e | 在组织系统和系统组件中使用 [选择:(一项或多项):[分配:组织定义的物理隔离技术];[分配:组织定义的逻辑隔离技术]]。 | 通过确保 DMS 复制实例无法公开访问来管理对 AWS 云的访问。DMS 复制实例可能包含敏感信息,因此需要对此类账户进行访问控制。 | |
| 3.13.4e | 在组织系统和系统组件中使用 [选择:(一项或多项):[分配:组织定义的物理隔离技术];[分配:组织定义的逻辑隔离技术]]。 | 通过确保 EBS 快照不可公开还原来管理对 AWS 云的访问。EBS 卷快照可能包含敏感信息,因此需要对此类账户进行访问控制。 | |
| 3.13.4e | 在组织系统和系统组件中使用 [选择:(一项或多项):[分配:组织定义的物理隔离技术];[分配:组织定义的逻辑隔离技术]]。 | 通过确保 Amazon Elastic Compute Cloud (Amazon EC2) 实例无法公开访问来管理对 AWS 云的访问。Amazon EC2 实例可能包含敏感信息,因此需要对此类账户进行访问控制。 | |
| 3.13.4e | 在组织系统和系统组件中使用 [选择:(一项或多项):[分配:组织定义的物理隔离技术];[分配:组织定义的逻辑隔离技术]]。 | 通过确保 Amazon OpenSearch Service (OpenSearch Service) 域位于 Amazon Virtual Private Cloud (Amazon VPC) 中,来管理对 AWS 云的访问。Amazon VPC 中的 OpenSearch Service 域可实现 Amazon OpenSearch Service 与 Amazon VPC 中其他服务之间的安全通信,而无需互联网网关、NAT 设备或 VPN 连接。 | |
| 3.13.4e | 在组织系统和系统组件中使用 [选择:(一项或多项):[分配:组织定义的物理隔离技术];[分配:组织定义的逻辑隔离技术]]。 | 通过确保 Amazon EMR 集群主节点无法公开访问来管理对 AWS 云的访问。Amazon EMR 集群主节点可能包含敏感信息,因此需要对此类账户进行访问控制。 | |
| 3.13.4e | 在组织系统和系统组件中使用 [选择:(一项或多项):[分配:组织定义的物理隔离技术];[分配:组织定义的逻辑隔离技术]]。 | 在 Amazon Virtual Private Cloud (Amazon VPC) 内部署 Amazon Elastic Compute Cloud (Amazon EC2) 实例,以实现实例与 Amazon VPC 内其他服务之间的安全通信,而无需互联网网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全保护。将 Amazon EC2 实例分配给 Amazon VPC 以正确管理访问权限。 | |
| 3.13.4e | 在组织系统和系统组件中使用 [选择:(一项或多项):[分配:组织定义的物理隔离技术];[分配:组织定义的逻辑隔离技术]]。 | 通过确保 AWS Lambda 函数无法公开访问,来管理对 AWS 云中资源的访问。公开访问可能导致资源可用性下降。 | |
| 3.13.4e | 在组织系统和系统组件中使用 [选择:(一项或多项):[分配:组织定义的物理隔离技术];[分配:组织定义的逻辑隔离技术]]。 | 在 Amazon Virtual Private Cloud (Amazon VPC) 中部署 AWS Lambda 函数,以便在 Amazon VPC 中的函数和其他服务之间进行安全通信。使用此配置时,不需要互联网网关、NAT 设备或 VPN 连接。AWS 云中的所有流量都会保持安全。由于进行了逻辑隔离,与使用公共终端节点的域相比,驻留在 Amazon VPC 中的域有一层额外的安全保护。为了正确管理访问权限,应将 AWS Lambda 函数分配给 VPC。 | |
| 3.13.4e | 在组织系统和系统组件中使用 [选择:(一项或多项):[分配:组织定义的物理隔离技术];[分配:组织定义的逻辑隔离技术]]。 | 通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有的,来管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息,因此需要对此类账户实施相应原则和访问控制。 | |
| 3.13.4e | 在组织系统和系统组件中使用 [选择:(一项或多项):[分配:组织定义的物理隔离技术];[分配:组织定义的逻辑隔离技术]]。 | 通过确保 Amazon Relational Database Service (Amazon RDS) 实例不是公有的,来管理对 AWS 云中资源的访问。Amazon RDS 数据库实例可能包含敏感信息,因此需要对此类账户实施相应原则和访问控制。 | |
| 3.13.4e | 在组织系统和系统组件中使用 [选择:(一项或多项):[分配:组织定义的物理隔离技术];[分配:组织定义的逻辑隔离技术]]。 | 通过确保 Amazon Redshift 集群不是公有的,来管理对 AWS 云中资源的访问。Amazon Redshift 集群可能包含敏感信息,因此需要对此类账户实施相应原则和访问控制。 | |
| 3.13.4e | 在组织系统和系统组件中使用 [选择:(一项或多项):[分配:组织定义的物理隔离技术];[分配:组织定义的逻辑隔离技术]]。 | 通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶无法公开访问,来管理对 AWS 云中资源的访问。该规则通过防止公众访问,来帮助保护敏感数据免受未经授权的远程用户的访问。此规则允许您选择设置 ignorePublicAcls(Config 默认:True)、blockPublicPolicy(Config 默认值:True)、blockPublicAcls(Config 默认值:True)和 restrictPublicBuckets 参数(Config 默认值:True)。实际值应反映贵组织的策略。 | |
| 3.13.4e | 在组织系统和系统组件中使用 [选择:(一项或多项):[分配:组织定义的物理隔离技术];[分配:组织定义的逻辑隔离技术]]。 | 通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶,来管理对 AWS 云中资源的访问。访问管理应与数据的分类保持一致。 | |
| 3.13.4e | 在组织系统和系统组件中使用 [选择:(一项或多项):[分配:组织定义的物理隔离技术];[分配:组织定义的逻辑隔离技术]]。 | 通过仅允许授权用户、进程和设备访问 Amazon Simple Storage Service (Amazon S3) 存储桶,来管理对 AWS 云中资源的访问。访问管理应与数据的分类保持一致。 | |
| 3.13.4e | 在组织系统和系统组件中使用 [选择:(一项或多项):[分配:组织定义的物理隔离技术];[分配:组织定义的逻辑隔离技术]]。 | 通过确保 Amazon SageMaker 笔记本不允许直接访问互联网,管理对 AWS 云中资源的访问。通过防止直接访问互联网,您可以防止未经授权的用户访问敏感数据。 | |
| 3.13.4e | 在组织系统和系统组件中使用 [选择:(一项或多项):[分配:组织定义的物理隔离技术];[分配:组织定义的逻辑隔离技术]]。 | 通过确保 Amazon Virtual Private Cloud (VPC) 子网不会自动分配公有 IP 地址,来管理对 AWS 云的访问。Amazon Elastic Compute Cloud (EC2) 实例在启用此属性的子网中启动时,其主网络接口会分配一个公有 IP 地址。 | |
| 3.13.4e | 在组织系统和系统组件中使用 [选择:(一项或多项):[分配:组织定义的物理隔离技术];[分配:组织定义的逻辑隔离技术]]。 | 通过确保 Amazon OpenSearch Service 域位于 Amazon Virtual Private Cloud (Amazon VPC) 中,来管理对 AWS 云的访问。Amazon VPC 中的 Amazon OpenSearch Service 域可实现 Amazon OpenSearch Service 与 Amazon VPC 中其他服务之间的安全通信,而无需互联网网关、NAT 设备或 VPN 连接。 | |
| 3.13.4e | 在组织系统和系统组件中使用 [选择:(一项或多项):[分配:组织定义的物理隔离技术];[分配:组织定义的逻辑隔离技术]]。 | 网络访问控制列表 (NACL) 中的远程服务器管理端口(例如端口 22 (SSH) 和端口 3389 (RDP))不应设为可公开访问,因为这可能会允许对您的 VPC 内的资源进行意外访问。 | |
| 3.13.4e | 在组织系统和系统组件中使用 [选择:(一项或多项):[分配:组织定义的物理隔离技术];[分配:组织定义的逻辑隔离技术]]。 | 通过确保 Amazon Simple Storage Service (Amazon S3) 存储桶无法公开访问,来管理对 AWS 云中资源的访问。该规则通过在存储桶级别防止公众访问,来帮助保护敏感数据免受未经授权的远程用户的访问。 | |
| 3.13.4e | 在组织系统和系统组件中使用 [选择:(一项或多项):[分配:组织定义的物理隔离技术];[分配:组织定义的逻辑隔离技术]]。 | 确保 AWS Systems Manager (SSM) 文档不公开,因为这可能会允许意外访问您的 SSM 文档。公开 SSM 文档可能会公开有关您的账户、资源和内部流程的信息。 | |
| 3.13.4e | 在组织系统和系统组件中使用 [选择:(一项或多项):[分配:组织定义的物理隔离技术];[分配:组织定义的逻辑隔离技术]]。 | 如果您使用公有 IP 地址配置网络接口,则可以从互联网访问这些网络接口的相关资源。EC2 资源不应可公开访问,因为这可能会允许意外地访问您的应用程序或服务器。 | |
| 3.13.4e | 在组织系统和系统组件中使用 [选择:(一项或多项):[分配:组织定义的物理隔离技术];[分配:组织定义的逻辑隔离技术]]。 | 增强型 VPC 路由会强制群集和数据存储库之间的所有 COPY 和 UNLOAD 流量都通过 Amazon VPC。然后,您可以使用安全组和网络访问控制列表等 VPC 功能,来保护网络流量。还可以使用 VPC 流日志来监控网络流量。 | |
| 3.13.4e | 在组织系统和系统组件中使用 [选择:(一项或多项):[分配:组织定义的物理隔离技术];[分配:组织定义的逻辑隔离技术]]。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可对 AWS 资源的入口和出口网络流量进行有状态过滤,从而帮助管理网络访问。不允许您资源上的入口(或远程)流量从 0.0.0.0/0 进入端口 22 有助于限制远程访问。 | |
| 3.13.4e | 在组织系统和系统组件中使用 [选择:(一项或多项):[分配:组织定义的物理隔离技术];[分配:组织定义的逻辑隔离技术]]。 | 通过确保在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,来管理对 AWS 云中资源的访问。如果不将端口访问限制为可信来源,可能会导致针对系统可用性、完整性和机密性的攻击。此规则允许您选择设置 blockedPort1 - blockedPort5 参数(Config 默认值:20,21,3389,3306,4333)。实际值应反映贵组织的策略。 | |
| 3.13.4e | 在组织系统和系统组件中使用 [选择:(一项或多项):[分配:组织定义的物理隔离技术];[分配:组织定义的逻辑隔离技术]]。 | Amazon Elastic Compute Cloud (Amazon EC2) 安全组可以通过对 AWS 资源的入口和出口网络流量进行有状态筛选,从而帮助管理网络访问。限制默认安全组上的所有流量有助于限制对 AWS 资源的远程访问。 | |
| 3.13.4e | 在组织系统和系统组件中使用 [选择:(一项或多项):[分配:组织定义的物理隔离技术];[分配:组织定义的逻辑隔离技术]]。 | 通过确保在 Amazon Elastic Compute Cloud (Amazon EC2) 安全组上限制通用端口,来管理对 AWS 云中资源的访问。如果不将端口访问限制为可信来源,可能会导致针对系统可用性、完整性和机密性的攻击。通过限制从互联网 (0.0.0.0/0) 访问安全组内的资源,可以控制对内部系统的远程访问。 | |
| 3.13.4e | 在组织系统和系统组件中使用 [选择:(一项或多项):[分配:组织定义的物理隔离技术];[分配:组织定义的逻辑隔离技术]]。 | 确保 Amazon EC2 路由表中没有指向互联网网关的无限制路由。移除或限制 Amazon VPC 内工作负载的互联网访问可以减少环境中的意外访问。 | |
| 3.14.1e | 使用信任根机制或加密签名验证 [分配:组织定义的安全关键软件或基本软件] 的完整性。 | 利用 AWS CloudTrail 日志文件验证来检查 CloudTrail 日志的完整性。日志文件验证有助于确定日志文件在 CloudTrail 交付后是否被修改、删除或更改。该功能是使用业界标准算法构建的:哈希采用 SHA-256,数字签名采用带 RSA 的 SHA-256。这样,要修改、删除或伪造 CloudTrail 日志文件而不被检测到在计算上是不可行的。 | |
| 3.14.2e | 持续监控组织系统和系统组件是否存在异常或可疑行为。 | Amazon GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。这些威胁情报源包括恶意 IP 列表和机器学习列表,用于标识您的 AWS 云环境中的意外、未经授权的恶意活动。 | |
| 3.14.2e | 持续监控组织系统和系统组件是否存在异常或可疑行为。 | 使用 Amazon CloudWatch 集中收集和管理日志事件活动。包含 AWS CloudTrail 数据可提供您的 AWS 账户中 API 调用活动的详细信息。 | |
| 3.14.2e | 持续监控组织系统和系统组件是否存在异常或可疑行为。 | 当指标在指定数量的评估期超过阈值时,Amazon CloudWatch 会发出警报。告警根据指标或表达式在多个时间段内相对于某阈值的值执行一项或多项操作。此规则需要 alarmActionRequired(Config 默认值:True)、insufficientDataActionRequired(Config 默认值:True)、okActionRequired(Config 默认值:False)的值。实际值应反映您的环境的警报操作。 | |
| 3.14.2e | 持续监控组织系统和系统组件是否存在异常或可疑行为。 | 启用此规则可帮助改进 Amazon EC2 控制台上的 Amazon Elastic Compute Cloud (Amazon EC2) 实例监控,该控制台以 1 分钟为周期显示实例的监控图。 | |
| 3.14.2e | 持续监控组织系统和系统组件是否存在异常或可疑行为。 | 启用 Amazon Relational Database Service (Amazon RDS),以帮助监控 Amazon RDS 可用性。这让您可以详细了解您的 Amazon RDS 数据库实例的运行状况。当 Amazon RDS 存储使用多个底层物理设备时,“增强监控”会收集每台设备的数据。此外,当 Amazon RDS 数据库实例在多可用区部署中运行时,会收集辅助主机上每个设备的数据和辅助主机指标。 | |
| 3.14.2e | 持续监控组织系统和系统组件是否存在异常或可疑行为。 | VPC 流日志详细记录进出 Amazon Virtual Private Cloud (Amazon VPC) 网络接口的 IP 流量信息。默认情况下,流日志记录包括 IP 流的不同组件的值,包括源、目标和协议。 | |
| 3.14.2e | 持续监控组织系统和系统组件是否存在异常或可疑行为。 | AWS Security Hub 有助于监控未经授权的人员、连接、设备和软件。AWSSecurity Hub 可以聚合、组织和优先处理来自多个 AWS 服务的安全告警或结果。其中一些服务包括 Amazon Security Hub、Amazon Inspector、Amazon Macie、AWS Identity and Access Management (IAM) Access Analyzer、AWS Firewall Manager 和 AWS 合作伙伴解决方案。 | |
| 3.14.6e | 使用从 [分配:组织定义的外部组织] 获得的威胁指标信息和有效的缓解措施,来指导入侵检测和威胁搜寻并为其提供信息。 | Amazon GuardDuty 可以通过使用威胁情报源来帮助监控和检测潜在的网络安全事件。这些威胁情报源包括恶意 IP 列表和机器学习列表,用于标识您的 AWS 云环境中的意外、未经授权的恶意活动。 | |
| 3.14.7e | 使用 [分配:组织定义的验证方法或技术] 验证 [分配:组织定义的安全关键或基本软件、固件和硬件组件] 的正确性。 | 使用 AWS Systems Manager Associations 来帮助清点组织内的软件平台和应用程序。AWSSystems Manager 会为您的托管实例分配配置状态,并允许您设置操作系统补丁级别、软件安装、应用程序配置以及有关您的环境的其他详细信息的基准。 | |
| 3.14.7e | 使用 [分配:组织定义的验证方法或技术] 验证 [分配:组织定义的安全关键或基本软件、固件和硬件组件] 的正确性。 | 启用此规则以帮助识别和记录 Amazon Elastic Compute Cloud (Amazon EC2) 漏洞。此规则根据贵组织的政策和程序的要求检查 AWS Systems Manager 中的 Amazon EC2 实例补丁是否合规。 | |
| 3.14.7e | 使用 [分配:组织定义的验证方法或技术] 验证 [分配:组织定义的安全关键或基本软件、固件和硬件组件] 的正确性。 | 利用 AWS Systems Manager 管理 Amazon Elastic Compute Cloud (Amazon EC2) 实例,可以清点组织中的软件平台和应用程序。使用 AWS Systems Manager 提供详细的系统配置、操作系统补丁级别、服务名称和类型、软件安装、应用程序名称、发布者和版本以及有关您的环境的其他详细信息。 | |
| 3.14.7e | 使用 [分配:组织定义的验证方法或技术] 验证 [分配:组织定义的安全关键或基本软件、固件和硬件组件] 的正确性。 | AWS Fargate 任务的安全更新和补丁将自动部署。如果安全问题影响 AWS Fargate 平台版本,AWS 将为平台版本提供补丁。为了帮助管理运行 AWS Fargate 的 Amazon Elastic Container Service (ECS) 任务的补丁,请将您的服务独立任务更新为使用最新平台版本。 | |
| 3.14.7e | 使用 [分配:组织定义的验证方法或技术] 验证 [分配:组织定义的安全关键或基本软件、固件和硬件组件] 的正确性。 | Amazon Elastic Container Repository (ECR) 映像扫描可帮助识别容器映像中的软件漏洞。在 ECR 存储库中启用映像扫描功能可为所存储映像的完整性和安全性增加一层验证。 |
模板
该模板可在 GitHub 上找到:NIST 800 172 操作最佳实践
