Security Hub CSPM 中的 NIST SP 800-171 修订版 2
NIST 专题出版物 800-171 修订版 2 (NIST SP 800-171 Rev. 2) 是由美国商务部下属机构美国国家标准与技术研究院 (NIST) 开发的网络安全和合规框架。此合规框架提供了保护不属于美国联邦政府的系统和组织中受控非机密信息的机密性的建议安全要求。受控非机密信息(也称为 CUI)是不符合政府保密标准但必须受到保护的敏感信息。它是被认为是敏感信息,并且是由美国联邦政府或代表美国联邦政府的其他实体创建或拥有的信息。
NIST SP 800-171 Rev. 2 提供了针对以下情况下保护 CUI 机密性的建议安全要求:
-
该信息存在于非联邦系统和组织中,
-
非联邦组织未代表联邦机构收集或维护信息,也未代表联邦机构使用或运营系统,并且
-
对于 CUI Registry 中列出的 CUI 类别,授权法律、法规或政府范围内的政策没有规定保护 CUI 机密性的具体保障要求。
这些要求适用于处理、存储或传输 CUI 或者为组件提供安全保护的非联邦系统和组织的所有组件。有关更多信息,请参阅 NIST 计算机安全资源中心中的 NIST SP 800-171 Rev. 2
AWS Security Hub CSPM 提供了支持一部分 NIST SP 800-171 修订版 2 要求的安全控件。这些控件会对某些 AWS 服务和资源执行自动安全检查。要启用和管理这些控件,您可以将 NIST SP 800-171 修订版 2 框架作为 Security Hub CSPM 中的标准启用。请注意,控件不支持需要手动检查的 NIST SP 800-171 修订版 2 要求。
为适用于标准的控件配置资源记录
为了优化覆盖范围和调查发现的准确性,在 AWS Security Hub CSPM 中启用 NIST SP 800-171 修订版 2 标准之前,在 AWS Config 中启用和配置资源记录非常重要。在配置资源记录时,还要确保为适用于标准的控件检查的所有 AWS 资源类型启用它。否则,Security Hub CSPM 可能无法评估适当的资源,也无法针对适用于标准的控件生成准确的调查发现。
有关 Security Hub CSPM 如何在 AWS Config 中使用资源记录的信息,请参阅 为 Security Hub CSPM 启用和配置 AWS Config。有关在 AWS Config 中配置资源记录的信息,请参阅《AWS Config 开发人员指南》中的 Working with the configuration recorder。
下表指定了适用于 Security Hub CSPM 中的 NIST SP 800-171 修订版 2 标准的控件要记录的资源类型。
| AWS 服务 | 资源类型 |
|---|---|
| AWS Certificate Manager (ACM) |
|
| Amazon API Gateway |
|
| Amazon CloudFront |
|
| Amazon CloudWatch |
|
| Amazon Elastic Compute Cloud (Amazon EC2) |
|
| Elastic Load Balancing |
|
| AWS Identity and Access Management(IAM) |
|
| AWS Key Management Service (AWS KMS) |
|
| AWS Network Firewall |
|
| Amazon Simple Storage Service (Amazon S3) |
|
| Amazon Simple Notification Service (Amazon SNS) |
|
| AWS Systems Manager (SSM) |
|
| AWS WAF |
|
确定哪些控件适用于标准
以下列表指定了支持 NIST SP 800-171 修订版 2 要求并适用于 AWS Security Hub CSPM 中的 NIST SP 800-171 修订版 2 标准的控件。有关控件支持的特定要求的详细信息,请选择该控件。然后参阅控件详细信息中的相关要求字段。此字段指定控件支持的每个 NIST 要求。如果该字段未指定特定 NIST 要求,则控件不支持该要求。
