Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
NIST SP 800-53 Rev. 5 en Security Hub
El NIST SP 800-53 Rev. 5 es un marco de ciberseguridad y cumplimiento desarrollado por el Instituto Nacional de Estándares y Tecnología (NIST), una agencia que forma parte del Departamento de Comercio de los Estados Unidos. Este marco de cumplimiento lo ayuda a proteger la disponibilidad, confidencialidad e integridad de sus sistemas de información y recursos críticos. Los organismos del gobierno federal de EE. UU. y los contratistas deben cumplir con la norma NIST SP 800-53 para proteger sus sistemas, pero las empresas privadas pueden utilizarla voluntariamente como marco orientativo para reducir el riesgo de ciberseguridad.
Security Hub proporciona controles que admiten determinados requisitos del NIST SP 800-53. Estos controles se evalúan mediante controles de seguridad automatizados. Los controles de Security Hub no son compatibles con los requisitos del NIST SP 800-53 que requieren comprobaciones manuales. Además, los controles de Security Hub solo admiten los requisitos automatizados del NIST SP 800-53 que aparecen como requisitos relacionados en los detalles de cada control. Seleccione un control de la siguiente lista para ver la información detallada de control. Los requisitos relacionados que no se mencionan en los detalles de control no son compatibles actualmente con Security Hub.
A diferencia de otros marcos, el NIST SP 800-53 no establece prescripciones sobre cómo deben evaluarse sus requisitos. En cambio, el marco proporciona pautas y los controles del Security Hub NIST SP 800-53 representan la comprensión que el servicio tiene de ellas.
Si utiliza la integración de Security Hub AWS Organizations para gestionar de forma centralizada varias cuentas y quiere habilitar por lotes el NIST SP 800-53 en todas ellas, puede ejecutar un script multicuenta de Security Hub desde la cuenta
Para obtener más información sobre el NIST SP 800-53 Rev. 5, consulte el Centro de recursos de seguridad informática del NIST
Controles aplicables al NIST SP 800-53 Rev. 5
[Account.1] La información de contacto de seguridad debe proporcionarse para una Cuenta de AWS
[Account.2] Cuentas de AWS debe ser parte de una organización de AWS Organizations
[APIGateway.3] REST API Las etapas de API Gateway deben tener habilitado el AWS X-Ray rastreo
[APIGateway.4] La API puerta de enlace debe estar asociada a una web WAF ACL
[APIGateway.5] Los datos de la REST API caché de API Gateway deben cifrarse en reposo
[APIGateway.8] Las rutas de API gateway deben especificar un tipo de autorización
[APIGateway.9] El registro de acceso debe configurarse para las etapas de API Gateway V2
[AppSync.5] AWS AppSync APIs GraphQL no debe autenticarse con claves API
[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad
Los puntos de recuperación de [Backup.1] AWS Backup deben estar cifrados en reposo
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF
[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS
[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo
[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada
[CloudTrail.5] CloudTrail Los senderos deben estar integrados con Amazon Logs CloudWatch
[CloudWatch.15] Las alarmas de CloudWatch deben tener configuradas acciones específicas
[CloudWatch.16] Los grupos de registros de CloudWatch deben retenerse durante un periodo específico
[CloudWatch.17] Las acciones de alarma de CloudWatch deben estar activadas
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
[DataFirehose.1] Los flujos de entrega de Firehose deben estar cifrados en reposo
[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas
[DMS.8] las tareas de DMS replicación de la base de datos de origen deben tener el registro activado
[DMS.9] Los DMS puntos finales deben utilizar SSL
[DMS.11] DMS Los puntos finales de MongoDB deberían tener habilitado un mecanismo de autenticación
[DMS.12] DMS Los puntos finales de Redis deberían estar habilitados OSS TLS
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
[DocumentDb.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
[DynamoDB.2] Las tablas de DynamoDB deben tener habilitada la recuperación point-in-time
[DynamoDB.3] Los clústeres de DynamoDB Accelerator () deben cifrarse en reposo DAX
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de copias de seguridad
[DynamoDB.6] Las tablas de DynamoDB deben tener la protección contra eliminación habilitada
[DynamoDB.7] Los clústeres del Acelerador de DynamoDB deben estar cifrados en tránsito
[EC2.1] Las instantáneas de Amazon EBS no deberían poder restaurarse públicamente
[EC2.3] Los volúmenes adjuntos de Amazon EBS deben cifrarse en reposo
[EC2.4] EC2 Las instancias detenidas deben eliminarse después de un período de tiempo específico
[EC2.6] El registro de flujo de VPC debe estar habilitado en todas VPCs
[EC2.7] El cifrado predeterminado de EBS debe estar activado
[EC2.8] EC2 las instancias deben usar la versión 2 del servicio de metadatos de instancias IMDSv2
[EC2.9] EC2 Las instancias de Amazon no deben tener una dirección pública IPv4
[EC2.12] Amazon no utilizado EC2 EIPs debería retirarse
[EC2.15] EC2 Las subredes de Amazon no deberían asignar automáticamente direcciones IP públicas
[EC2.16] Deben eliminarse las listas de control de acceso a la red no utilizadas
[EC2.17] EC2 Las instancias de Amazon no deberían usar múltiples ENIs
[EC2.20] Los dos túneles VPN de una conexión AWS Site-to-Site VPN deben estar activos
[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389
[EC2.24] No se deben usar los tipos de instancias EC2 paravirtuales de Amazon
[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de respaldo
[EC2.55] VPCs debe configurarse con un punto final de interfaz para la API ECR
[EC2.56] VPCs debe configurarse con un punto final de interfaz para Docker Registry
[EC2.57] VPCs debe configurarse con un punto final de interfaz para Systems Manager
[EC2.60] VPCs debe configurarse con un punto final de interfaz para Systems Manager Incident Manager
[ECR.1] Los repositorios ECR privados deben tener configurado el escaneo de imágenes
[ECR.2] Los repositorios ECR privados deben tener configurada la inmutabilidad de las etiquetas
[ECR.3] ECR Los repositorios deben tener configurada al menos una política de ciclo de vida
[ECS.2] ECS los servicios no deberían tener direcciones IP públicas asignadas automáticamente
[ECS.3] las definiciones de ECS tareas no deben compartir el espacio de nombres del proceso del host
[ECS.4] los ECS contenedores deberían ejecutarse sin privilegios
[ECS.8] Los secretos no deben pasarse como variables de entorno del contenedor
[ECS.9] las definiciones de ECS tareas deben tener una configuración de registro
[ECS.12] ECS los clústeres deben usar Container Insights
[EFS.2] EFS Los volúmenes de Amazon deberían estar en los planes de respaldo
[EFS.3] los puntos de EFS acceso deben establecer un directorio raíz
[EFS.4] los puntos de EFS acceso deben imponer la identidad de un usuario
[EFS.6] Los destinos de EFS montaje no deben estar asociados a una subred pública
[EKS.1] Los puntos finales de los EKS clústeres no deben ser de acceso público
[EKS.2] EKS los clústeres deberían ejecutarse en una versión compatible de Kubernetes
[EKS.3] los EKS clústeres deben usar secretos de Kubernetes cifrados
[EKS.8] EKS los clústeres deben tener habilitado el registro de auditoría
[ElastiCache.4] los grupos de ElastiCache replicación deben estar cifrados en reposo
[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
[ELB.3] Los oyentes de Classic Load Balancer deben configurarse con o con terminación HTTPS TLS
[ELB.4] Application Load Balancer debe configurarse para eliminar los encabezados http no válidos
[ELB.5] El registro de aplicaciones y balanceadores de carga clásicos debe estar habilitado
[ELB.7] Los balanceadores de carga clásicos deberían tener habilitado el drenaje de conexiones
[ELB.10] Classic Load Balancer debe abarcar varias zonas de disponibilidad
[ELB.16] Los balanceadores de carga de aplicaciones deben estar asociados a una web AWS WAF ACL
[EMR.1] Los nodos maestros del clúster de Amazon EMR no deben tener direcciones IP públicas
[EMR.2] La configuración de bloqueo del acceso público de Amazon EMR debe estar habilitada
[EMR.3] Las configuraciones de seguridad de Amazon EMR deben cifrarse en reposo
[EMR.4] Las configuraciones de seguridad de Amazon EMR deben cifrarse en tránsito
[ES.1] Los dominios de Elasticsearch deben tener habilitado el cifrado en reposo
[ES.2] Los dominios de Elasticsearch no deben ser de acceso público
[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos
[ES.5] Los dominios de Elasticsearch deben tener habilitado el registro de auditoría
[ES.6] Los dominios de Elasticsearch deben tener al menos tres nodos de datos
[ES.7] Los dominios de Elasticsearch deben configurarse con al menos tres nodos maestros dedicados
[GuardDuty.1] GuardDuty debe estar activado
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”
[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz
[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras
[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas
[IAM.9] La MFA debe estar habilitada para el usuario raíz
[IAM.19] MFA se debe habilitar para todos los usuarios de IAM
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
[KMS.3] no AWS KMS keys debe eliminarse involuntariamente
La rotación de AWS KMS teclas [KMS.4] debe estar habilitada
[Lambda.1] Las políticas de función de Lambda deberían prohibir el acceso público
[Lambda.2] Las funciones de Lambda deben usar los tiempos de ejecución admitidos
[Lambda.3] Las funciones lambda deben estar en un VPC
[Lambda.5] Las funciones VPC Lambda deben funcionar en varias zonas de disponibilidad
[Macie.1] Amazon Macie debe estar habilitado
[Macie.2] La detección automática de datos confidenciales de Macie debe estar habilitada
[MSK.1] MSK Los clústeres deben cifrarse en tránsito entre los nodos intermediarios
[MSK.2] MSK los clústeres deben tener configurada una supervisión mejorada
[MQ.2] Los corredores de ActiveMQ deberían transmitir los registros de auditoría a CloudWatch
[MQ.5] Los corredores ActiveMQ deben usar el modo de implementación activo/en espera
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de implementación de clústeres
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
El grupo de reglas de Stateless Network Firewall [NetworkFirewall.6] no debe estar vacío
Los OpenSearch dominios [Opensearch.1] deben tener activado el cifrado en reposo
Los OpenSearch dominios [Opensearch.2] no deben ser de acceso público
Los OpenSearch dominios [Opensearch.3] deben cifrar los datos enviados entre nodos
El registro de errores de OpenSearch dominio [Opensearch.4] en CloudWatch Logs debe estar activado
Los OpenSearch dominios [Opensearch.5] deben tener habilitado el registro de auditoría
Los OpenSearch dominios [Opensearch.6] deben tener al menos tres nodos de datos
Los OpenSearch dominios [Opensearch.7] deben tener habilitado un control de acceso detallado
Los OpenSearch dominios [Opensearch.10] deben tener instalada la última actualización de software
Los OpenSearch dominios [Opensearch.11] deben tener al menos tres nodos principales dedicados
La autoridad emisora de certificados AWS Private CA raíz [PCA.1] debe estar deshabilitada
[RDS.1] La instantánea de RDS debe ser privada
[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo
Las instantáneas de clústeres y bases de datos de RDS [RDS.4] deben cifrarse cuando están inactivas
Las instancias de base de datos de RDS [RDS.5] deben configurarse con varias zonas de disponibilidad
Se debe configurar una supervisión mejorada para las instancias de base de datos de RDS [RDS.6]
Los clústeres de RDS [RDS.7] deben tener habilitada la protección contra la eliminación
[RDS.9] Las instancias de base de datos de RDS deben publicar los registros en Logs CloudWatch
La autenticación de IAM [RDS.10] debe configurarse para las instancias de RDS
Las instancias RDS [RDS.11] deben tener habilitadas las copias de seguridad automáticas
La autenticación de IAM [RDS.12] debe configurarse para los clústeres de RDS
Las actualizaciones automáticas de las versiones secundarias de RDS [RDS.13] deben estar habilitadas
Las instancias de RDS [RDS.18] deben implementarse en una VPC
Las instancias RDS [RDS.23] no deben usar el puerto predeterminado de un motor de base de datos
Los clústeres de bases de datos de RDS [RDS.27] deben cifrarse en reposo
[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público
Las conexiones a los clústeres de Amazon Redshift [Redshift.2] deben cifrarse en tránsito
Los clústeres de Amazon Redshift [Redshift.3] deben tener habilitadas las instantáneas automáticas
Los clústeres de Amazon Redshift [Redshift.4] deben tener habilitado el registro de auditoría
[Redshift.7] Los clústeres de Redshift deberían utilizar un enrutamiento mejorado VPC
Los clústeres de Redshift [Redshift.9] no deben usar el nombre de base de datos predeterminado
Los clústeres de Redshift [Redshift.10] deben cifrarse en reposo
[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS
[S3.1] Los buckets de uso general de S3 deben tener habilitado el bloqueo de acceso público
[S3.2] Los buckets de uso general de S3 deben bloquear el acceso público de lectura
[S3.3] Los buckets de uso general de S3 deben bloquear el acceso público de escritura
[S3.5] Los depósitos de uso general de S3 deberían requerir solicitudes de uso SSL
[S3.7] Los buckets de uso general de S3 deben usar la replicación entre regiones
[S3.8] Los buckets de uso general de S3 deben bloquear el acceso público
[S3.9] Los buckets de uso general de S3 deben tener habilitado el registro de acceso al servidor
[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos
[S3.13] Los buckets de uso general de S3 deben tener configuraciones de ciclo de vida
[S3.14] Los buckets de uso general de S3 deben tener habilitado el control de versiones
[S3.15] Los buckets de uso general de S3 deben tener habilitado el bloqueo de objetos
[S3.17] Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys
[S3.20] Los cubos de uso general de S3 deberían tener habilitada la función de eliminación MFA
[SageMaker.2] Las instancias de SageMaker AI notebook deben lanzarse en una VPC personalizada
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker AI Notebook
[SecretsManager.1] Los secretos de Secrets Manager deberían tener habilitada la rotación automática
[SecretsManager.3] Eliminar los secretos de Secrets Manager no utilizados
[SecretsManager.4] Los secretos de Secrets Manager deben rotarse en un número específico de días
[SNS.1] SNS los temas deben cifrarse en reposo mediante AWS KMS
Las colas de Amazon SQS [SQS.1] deben cifrarse en reposo
[SSM.1] EC2 Las instancias de Amazon deben gestionarse mediante AWS Systems Manager
[SSM.4] SSM los documentos no deben ser públicos
[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado
[WAF.2] Las reglas regionales AWS WAF clásicas deben tener al menos una condición
[WAF.3] Los grupos de reglas regionales AWS WAF clásicos deben tener al menos una regla
[WAF.4] La web regional AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
[WAF.10] la AWS WAF web ACLs debe tener al menos una regla o grupo de reglas
[WAF.11] El ACL registro AWS WAF web debe estar habilitado
[WAF.12] AWS WAF las reglas deben tener las CloudWatch métricas habilitadas