Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Revisión 2 de NIST SP 800-171 en el CSPM de Security Hub
La Publicación Especial 800-171 Revisión 2 del NIST (NIST SP 800-171 Rev. 2) es un marco de ciberseguridad y cumplimiento desarrollado por el Instituto Nacional de Estándares y Tecnología (NIST), una agencia que forma parte del Departamento de Comercio de los Estados Unidos. Este marco de cumplimiento establece requisitos de seguridad recomendados para proteger la confidencialidad de la información controlada no clasificada (CUI) en sistemas y organizaciones que no forman parte del Gobierno federal de los Estados Unidos. *La información controlada no clasificada* (*CUI*) es información confidencial que no cumple los criterios del Gobierno para clasificarse, pero que igualmente se debe proteger. Se trata información considerada confidencial que es creada o mantenida por el Gobierno federal de los Estados Unidos o por entidades que actúan en su nombre.
NIST SP 800-171 Revisión 2 define requisitos de seguridad recomendados para proteger la confidencialidad de la CUI cuando:
+ La información se aloja en sistemas u organizaciones que no pertenecen al Gobierno federal;
+ La organización no federal no recopila ni mantiene la información en nombre de una agencia federal, ni utiliza u opera un sistema en nombre de dicha agencia; y
+ No existen requisitos de protección específicos establecidos por la ley habilitante, la normativa o una política federal aplicable a la categoría de CUI correspondiente, según figura en el Registro de CUI.
Los requisitos se aplican a todos los componentes de sistemas y organizaciones no federales que tratan, almacenan o transmiten CUI, o que proporcionan protección de seguridad para dichos componentes. Para obtener más información, consulte [NIST SP 800-171 Revisión 2](https://csrc.nist.gov/pubs/sp/800/171/r2/upd1/final) en el *Centro de Recursos de Seguridad Informática del NIST*.
AWS Security Hub CSPM proporciona controles de seguridad que admiten un subconjunto de los requisitos del NIST SP 800-171, revisión 2. Los controles realizan comprobaciones de seguridad automatizadas para determinados recursos. Servicios de AWS Para habilitar y administrar estos controles, puede habilitar el marco NIST SP 800-171 Revisión 2 como un estándar en el CSPM de Security Hub. Tenga en cuenta que los controles no admiten los requisitos de NIST SP 800-171 Revisión 2 que requieren comprobaciones manuales.
**Topics**
+ [Configuración del registro de recursos para el estándar](#standards-reference-nist-800-171-recording)
+ [Cómo determinar qué controles se aplican al estándar](#standards-reference-nist-800-171-controls)
## Configuración del registro de recursos para los controles que se aplican al estándar
Para optimizar la cobertura y la precisión de los hallazgos, es importante habilitar y configurar el registro de recursos AWS Config antes de habilitar el estándar NIST SP 800-171 revisión 2 en AWS Security Hub CSPM. Al configurar el registro de recursos, asegúrese también de habilitarlo para todos los tipos de AWS recursos que se comprueban mediante los controles que se aplican al estándar. De lo contrario, es posible que el CSPM de Security Hub no pueda evaluar los recursos adecuados ni generar los resultados precisos para los controles aplicables al estándar.
Para obtener información sobre cómo Security Hub CSPM utiliza el registro de recursos AWS Config, consulte. [Habilitación y configuración AWS Config de Security Hub CSPM](securityhub-setup-prereqs.md) Para obtener información sobre cómo configurar el registro de recursos en AWS Config, consulte [Trabajar con el grabador de configuración](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) en la Guía *AWS Config para desarrolladores*.
La siguiente tabla especifica los tipos de recursos que se deben registrar para los controles que se aplican al estándar NIST SP 800-171 Revisión 2 en el CSPM de Security Hub.
| Servicio de AWS | Tipos de recurso |
| --- | --- |
| AWS Certificate Manager(ACM) | `AWS::ACM::Certificate` |
| Amazon API Gateway | `AWS::ApiGateway::Stage` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` |
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer` |
| AWS Identity and Access Management(IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` |
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` |
| AWS Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` |
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` |
| AWS Systems Manager (SSM) | `AWS::SSM::PatchCompliance` |
| AWS WAF | `AWS::WAFv2::RuleGroup` |
## Cómo determinar qué controles se aplican al estándar
La siguiente lista especifica los controles que admiten los requisitos del NIST SP 800-171 revisión 2 y se aplican al estándar NIST SP 800-171 revisión 2 en Security Hub CSPM. AWS Para ver los detalles sobre los requisitos específicos que admite un control, seleccione el control. Luego, consulte el campo **Requisitos relacionados** en los detalles del control. Este campo especifica cada requisito de NIST que admite el control. Si el campo no especifica un requisito concreto de NIST, el control no admite ese requisito.
+ [[ACM.1] Los certificados importados y emitidos por ACM deben renovarse después de un período de tiempo específico](acm-controls.md#acm-1)
+ [[APIGateway.2] Las etapas de la API REST de API Gateway deben configurarse para usar certificados SSL para la autenticación de back-end](apigateway-controls.md#apigateway-2)
+ [[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados](cloudfront-controls.md#cloudfront-10)
+ [[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo](cloudtrail-controls.md#cloudtrail-2)
+ [[CloudTrail.3] Debe estar habilitada al menos una CloudTrail ruta](cloudtrail-controls.md#cloudtrail-3)
+ [[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada](cloudtrail-controls.md#cloudtrail-4)
+ [[CloudWatch.1] Debe haber un filtro de métricas de registro y una alarma para que los utilice el usuario «root»](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] Asegúrese de que existan un filtro de métricas de registro y una alarma para las llamadas a la API no autorizadas](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.4] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de IAM](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios CloudTrail de configuración](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] Asegúrese de que existan un filtro de métricas de registro y una alarma para detectar errores de Consola de administración de AWS autenticación](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] Asegúrese de que existan un filtro de métricas de registro y una alarma para deshabilitar o eliminar de forma programada las claves gestionadas por el cliente](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de cubos de S3](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios AWS Config de configuración](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en los grupos de seguridad](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] Asegúrese de que existan un filtro de registro métrico y una alarma para detectar cambios en las listas de control de acceso a la red (NACL)](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] Asegúrese de que existan un filtro de métrica de registro y una alarma para detectar cambios en las pasarelas de red](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la tabla de rutas](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la VPC](cloudwatch-controls.md#cloudwatch-14)
+ [[CloudWatch.15] CloudWatch las alarmas deben tener configuradas acciones específicas](cloudwatch-controls.md#cloudwatch-15)
+ [[EC2.6] El registro de flujo de VPC debe estar habilitado en todos VPCs](ec2-controls.md#ec2-6)
+ [[EC2.10] Amazon EC2 debe configurarse para utilizar los puntos de enlace de VPC que se crean para el servicio Amazon EC2](ec2-controls.md#ec2-10)
+ [[EC2.13] Los grupos de seguridad no deben permitir la entrada desde 0.0.0.0/0 o ::/0 al puerto 22](ec2-controls.md#ec2-13)
+ [[EC2.16] Deben eliminarse las listas de control de acceso a la red no utilizadas](ec2-controls.md#ec2-16)
+ [[EC2.18] Los grupos de seguridad solo deben permitir el tráfico entrante sin restricciones en los puertos autorizados](ec2-controls.md#ec2-18)
+ [[EC2.19] Los grupos de seguridad no deben permitir el acceso ilimitado a los puertos de alto riesgo](ec2-controls.md#ec2-19)
+ [[EC2.20] Los dos túneles VPN de una conexión VPN deben estar AWS Site-to-Site activos](ec2-controls.md#ec2-20)
+ [[EC2.21] La red no ACLs debe permitir la entrada desde el 0.0.0.0/0 al puerto 22 o al puerto 3389](ec2-controls.md#ec2-21)
+ [[EC2.51] Los puntos de conexión de Client VPN de EC2 deben tener habilitado el registro de conexiones de clientes](ec2-controls.md#ec2-51)
+ [[ELB.2] Los balanceadores de carga clásicos con oyentes deben usar un certificado proporcionado por SSL/HTTPS AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.3] Los oyentes de Equilibrador de carga clásico deben configurarse con una terminación HTTPS o TLS](elb-controls.md#elb-3)
+ [[ELB.8] Los balanceadores de carga clásicos con detectores SSL deben usar una política de seguridad predefinida que tenga una duración sólida AWS Config](elb-controls.md#elb-8)
+ [[GuardDuty.1] GuardDuty debería estar activado](guardduty-controls.md#guardduty-1)
+ [[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “\*”](iam-controls.md#iam-1)
+ [[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas](iam-controls.md#iam-2)
+ [[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras](iam-controls.md#iam-7)
+ [[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas](iam-controls.md#iam-8)
+ [[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una configuración sólida](iam-controls.md#iam-10)
+ [[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula](iam-controls.md#iam-11)
+ [[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula](iam-controls.md#iam-12)
+ [[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo](iam-controls.md#iam-13)
+ [[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número](iam-controls.md#iam-14)
+ [[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más](iam-controls.md#iam-15)
+ [[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas](iam-controls.md#iam-16)
+ [[IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] MFA se debe habilitar para todos los usuarios de IAM](iam-controls.md#iam-19)
+ [[IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios](iam-controls.md#iam-21)
+ [[IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días](iam-controls.md#iam-22)
+ [[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Las políticas de Network Firewall deben tener asociado al menos un grupo de reglas](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.5] La acción sin estado predeterminada para las políticas de Network Firewall debe ser eliminar o reenviar paquetes fragmentados](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío](networkfirewall-controls.md#networkfirewall-6)
+ [[S3.5] En las solicitudes de los buckets de uso general de S3, se debe pedir el uso de SSL](s3-controls.md#s3-5)
+ [[S3.6] Las políticas de compartimentos de uso general de S3 deberían restringir el acceso a otros Cuentas de AWS](s3-controls.md#s3-6)
+ [[S3.9] Los buckets de uso general de S3 deben tener habilitado el registro de acceso al servidor](s3-controls.md#s3-9)
+ [[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos](s3-controls.md#s3-11)
+ [[S3.14] Los buckets de uso general de S3 deben tener habilitado el control de versiones](s3-controls.md#s3-14)
+ [[S3.17] Los depósitos de uso general de S3 deben cifrarse en reposo con AWS KMS keys](s3-controls.md#s3-17)
+ [[SNS.1] Los temas de SNS deben cifrarse en reposo mediante AWS KMS](sns-controls.md#sns-1)
+ [[SSM.2] Las instancias EC2 de Amazon administradas por Systems Manager deben tener un estado de conformidad de parche de COMPLIANT después de la instalación de un parche](ssm-controls.md#ssm-2)
+ [AWS WAF Las reglas [WAF.12] deben tener las métricas habilitadas CloudWatch](waf-controls.md#waf-12)