本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Security Hub CSPM 中的 NIST SP 800-171 修訂版 2
NIST 特別出版物 800-171 修訂版 2 (NIST SP 800-171 修訂版 2) 是由國家標準技術研究所 (NIST) 所開發的網路安全和合規架構,該機構是美國商務部的一部分。此合規架構提供建議的安全要求,以保護不屬於美國聯邦政府的系統和組織中受控未分類資訊的機密性。受控未分類資訊也稱為 CUI,是不符合政府分類標準的敏感資訊,但必須受到保護。這是被視為敏感的資訊,由美國聯邦政府或代表美國聯邦政府的其他實體建立或擁有。
NIST SP 800-171 修訂版 2 在以下情況提供保護 CUI 機密性的建議安全要求:
-
資訊位於非聯合系統和組織中,
-
非聯合組織不會代表聯邦機構收集或維護資訊,也不會代表機構使用或操作系統,以及
-
對於 CUI 登錄檔中列出的 CUI 類別,對於授權法律、法規或全政府政策所規定的 CUI 機密性,沒有特定的保護要求。
這些要求適用於處理、存放或傳輸 CUI 或為元件提供安全保護的非聯合系統和組織的所有元件。如需詳細資訊,請參閱 NIST 電腦安全資源中心的 NIST SP 800-171 修訂版 2
AWSSecurity Hub CSPM 提供安全控制,支援 NIST SP 800-171 修訂版 2 要求的子集。這些控制項會針對特定 AWS 服務和 資源執行自動安全檢查。若要啟用和管理這些控制項,您可以在 Security Hub CSPM 中啟用 NIST SP 800-171 修訂版 2 架構作為標準。請注意,控制項不支援需要手動檢查的 NIST SP 800-171 修訂版 2 要求。
設定適用於標準之控制項的資源記錄
若要最佳化涵蓋範圍和調查結果的準確性,請務必在 AWSSecurity Hub CSPM 中啟用 NIST SP 800-171 修訂版 2 標準AWS Config之前,先在 中啟用和設定資源記錄。當您設定資源錄製時,也請務必針對套用標準之控制項檢查的所有AWS資源類型啟用它。否則,Security Hub CSPM 可能無法評估適當的資源,並針對適用於標準的控制項產生準確的調查結果。
如需 Security Hub CSPM 如何在 中使用資源錄製的資訊AWS Config,請參閱 啟用和設定 AWS Config Security Hub CSPM。如需有關在 中設定資源錄製的資訊AWS Config,請參閱《 AWS Config開發人員指南》中的使用組態記錄器。
下表指定適用於 Security Hub CSPM 中 NIST SP 800-171 修訂版 2 標準的控制項要記錄的資源類型。
| AWS 服務 | 資源類型 |
|---|---|
| AWS Certificate Manager(ACM) |
|
| Amazon API Gateway |
|
| Amazon CloudFront |
|
| Amazon CloudWatch |
|
| Amazon Elastic Compute Cloud (Amazon EC2) |
|
| Elastic Load Balancing |
|
| AWS Identity and Access Management(IAM) |
|
| AWS Key Management Service (AWS KMS) |
|
| AWS Network Firewall |
|
| Amazon Simple Storage Service (Amazon S3) |
|
| Amazon Simple Notification Service (Amazon SNS) |
|
| AWS Systems Manager(SSM) |
|
| AWS WAF |
|
判斷哪些控制項適用於標準
以下清單指定支援 NIST SP 800-171 修訂版 2 要求的控制項,並適用於 AWSSecurity Hub CSPM 中的 NIST SP 800-171 修訂版 2 標準。如需控制項支援的特定需求的詳細資訊,請選擇控制項。然後,請參閱控制項詳細資訊中的相關需求欄位。此欄位會指定控制項支援的每個 NIST 需求。如果 欄位未指定特定的 NIST 需求,則控制項不支援該需求。
