Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Revisión 5 de NIST SP 800-53 en el CSPM de Security Hub
La publicación especial 800-53 del NIST, revisión 5 (NIST SP 800-53 rev. 5) es un marco de ciberseguridad y cumplimiento desarrollado por el Instituto Nacional de Estándares y Tecnología (NIST), un organismo que forma parte del. U.S Departamento de Comercio. Este marco de cumplimiento proporciona un catálogo de requisitos de seguridad y privacidad para proteger la confidencialidad, integridad y disponibilidad de los sistemas de información y los recursos críticos. U.S. Las agencias del gobierno federal y los contratistas deben cumplir con estos requisitos para proteger sus sistemas y organizaciones. Las organizaciones privadas también pueden usar estos requisitos de manera voluntaria como marco orientador para reducir el riesgo de ciberseguridad. Para obtener más información sobre el marco y sus requisitos, consulte NIST SP 800-53 Rev. 5
AWSSecurity Hub CSPM proporciona controles de seguridad que admiten un subconjunto de los requisitos del NIST SP 800-53, revisión 5. Los controles realizan comprobaciones de seguridad automatizadas para determinados recursos. Servicios de AWS Para habilitar y administrar estos controles, puede habilitar el marco NIST SP 800-53 Revisión 5 como un estándar en el CSPM de Security Hub. Tenga en cuenta que los controles no admiten los requisitos de NIST SP 800-53 Revisión 5 que requieren comprobaciones manuales.
A diferencia de otros marcos, NIST SP 800-53 Revisión 5 no prescribe cómo se deben evaluar sus requisitos. En su lugar, el marco proporciona directrices. En el CSPM de Security Hub, el estándar NIST SP 800-53 Revisión 5 y sus controles representan la interpretación que hace el servicio de estas directrices.
Temas
Configuración del registro de recursos para los controles que se aplican al estándar
Para optimizar la cobertura y la precisión de los hallazgos, es importante habilitar y configurar el registro de recursos AWS Config antes de habilitar el estándar NIST SP 800-53 revisión 5 en AWS Security Hub CSPM. Al configurar el registro de recursos, asegúrese también de habilitarlo para todos los tipos de AWS recursos que se comprueban mediante los controles que se aplican al estándar. Esto se aplica principalmente a los controles que tienen un tipo de programación activado por cambios. Sin embargo, algunos controles con un tipo de programación periódica también requieren el registro de recursos. Si el registro de recursos no está habilitado o no está configurado correctamente, es posible que el CSPM de Security Hub no pueda evaluar los recursos correspondientes ni generar resultados precisos para los controles que se aplican al estándar.
Para obtener información sobre cómo Security Hub CSPM utiliza el registro de recursosAWS Config, consulte. Activación y configuraciónAWS Configpara Security Hub CSPM Para obtener información sobre cómo configurar el registro de recursos enAWS Config, consulte Trabajar con el grabador de configuración en la Guía AWS Configpara desarrolladores.
La siguiente tabla especifica los tipos de recursos que se deben registrar para los controles que se aplican al estándar NIST SP 800-53 Revisión 5 en el CSPM de Security Hub.
| Servicio de AWS | Tipos de recurso |
|---|---|
|
Amazon API Gateway |
|
|
AWS AppSync |
|
|
AWS Backup |
|
|
Amazon Bedrock AgentCore |
|
|
AWS Certificate Manager(ACM) |
|
|
AWS CloudFormation |
|
|
Amazon CloudFront |
|
|
Amazon CloudWatch |
|
|
AWS CodeBuild |
|
|
AWS Database Migration Service(AWS DMS) |
|
|
Amazon DynamoDB |
|
|
Amazon Elastic Compute Cloud (Amazon EC2) |
|
|
Amazon EC2 Auto Scaling |
|
|
Amazon Elastic Container Registry (Amazon ECR) |
|
|
Amazon Elastic Container Service (Amazon ECS) |
|
|
Amazon Elastic File System (Amazon EFS) |
|
|
Amazon Elastic Kubernetes Service (Amazon EKS) |
|
|
AWS Elastic Beanstalk |
|
|
Elastic Load Balancing |
|
|
Amazon ElasticSearch |
|
|
Amazon EMR |
|
|
Amazon EventBridge |
|
|
AWS Glue |
|
|
AWS Identity and Access Management(YO SOY) |
|
|
AWS Key Management Service(AWS KMS) |
|
|
Amazon Kinesis |
|
|
AWS Lambda |
|
|
Amazon Managed Streaming para Apache Kafka (Amazon MSK) |
|
|
Amazon MQ |
|
|
AWS Network Firewall |
|
|
OpenSearch Servicio Amazon |
|
|
Amazon Relational Database Service (Amazon RDS) |
|
|
Amazon Redshift |
|
|
Amazon Route 53 |
|
|
Amazon Simple Storage Service (Amazon S3) |
|
|
AWS Service Catalog |
|
|
Amazon Simple Notification Service (Amazon SNS) |
|
|
Amazon Simple Queue Service (Amazon SQS) |
|
| Amazon EC2 Systems Manager (SSM) |
|
|
Amazon SageMaker AI |
|
|
AWS Secrets Manager |
|
|
AWS Transfer Family |
|
|
AWS WAF |
|
Cómo determinar qué controles se aplican al estándar
La siguiente lista especifica los controles que admiten los requisitos del NIST SP 800-53 revisión 5 y se aplican al estándar NIST SP 800-53 revisión 5 en Security Hub AWS CSPM. Para ver los detalles sobre los requisitos específicos que admite un control, seleccione el control. Luego, consulte el campo Requisitos relacionados en los detalles del control. Este campo especifica cada requisito de NIST que admite el control. Si el campo no especifica un requisito concreto de NIST, el control no admite ese requisito.
-
[Account.1] La información de contacto de seguridad debe proporcionarse para unCuenta de AWS
-
[Account.2]Cuentas de AWSdebe formar parte de unAWS Organizationsorganización
-
[APIGateway.1] El registro de ejecución de WebSocket API Gateway REST y API debe estar habilitado
-
[APIGateway.3] Las etapas de la API REST de API Gateway deberían tenerAWS X-Rayrastreo activado
-
[APIGateway.4] API Gateway debe estar asociada a una ACL web de WAF
-
[APIGateway.5] Los datos de la caché de la API REST de API Gateway deben cifrarse en reposo
-
[APIGateway.8] Las rutas de API Gateway deben especificar un tipo de autorización
-
[APIGateway.9] El registro de acceso debe configurarse para las etapas V2 de API Gateway
-
[AppSync.5]AWS AppSyncLas API de GraphQL no deben autenticarse con claves de API
-
[AutoScaling.2] El grupo Amazon EC2 Auto Scaling debe cubrir varias zonas de disponibilidad
-
[Backup.1]AWS Backuplos puntos de recuperación deben estar cifrados en reposo
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront las distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo
-
[CloudTrail.4] La validación del archivo de CloudTrail registro debe estar habilitada
-
[CloudTrail.5] los CloudTrail senderos deben estar integrados con Amazon CloudWatch Logs
-
[CloudWatch.15] CloudWatch las alarmas deben tener configuradas acciones específicas
-
[CloudWatch.17] las acciones CloudWatch de alarma deberían estar activadas
-
[CodeBuild.3] Los registros de CodeBuild S3 deben estar cifrados
-
[CodeBuild.4] los entornos de CodeBuild proyectos deben tener un registroAWS ConfigDuración
-
[DataFirehose.1] Los flujos de entrega de Firehose deben cifrarse en reposo
-
[DMS.1] Las instancias de replicación de Database Migration Service no deben ser públicas
-
[DMS.11] Los puntos finales de DMS para MongoDB deben tener un mecanismo de autenticación habilitado
-
[DMS.12] Los puntos finales de DMS para Redis OSS deben tener el TLS habilitado
-
[DocumentDB.1] Los clústeres de Amazon DocumentDB deben cifrarse en reposo
-
[DocumentDB.3] Las instantáneas de clústeres manuales de Amazon DocumentDB no deben ser públicas
-
[DynamoDB.2] Las tablas de DynamoDB deben tener habilitada la recuperación puntual
-
[DynamoDB.3] Los clústeres de DynamoDB Accelerator (DAX) deben cifrarse en reposo
-
[DynamoDB.4] Las tablas de DynamoDB deben estar presentes en un plan de respaldo
-
[DynamoDB.6] Las tablas de DynamoDB deben tener habilitada la protección de eliminación
-
[DynamoDB.7] Los clústeres de DynamoDB Accelerator deben cifrarse en tránsito
-
[EC2.3] Los volúmenes adjuntos de Amazon EBS deben cifrarse en reposo
-
[EC2.4] Las instancias EC2 detenidas deben eliminarse después de un período de tiempo específico
-
[EC2.6] El registro de flujo de VPC debe estar habilitado en todas las VPC
-
[EC2.7] El cifrado predeterminado de EBS debe estar habilitado
-
[EC2.9] Las instancias de Amazon EC2 no deben tener una dirección IPv4 pública
-
[EC2.12] Deben eliminarse las EIP de Amazon EC2 no utilizadas
-
[EC2.15] Las subredes de Amazon EC2 no deben asignar automáticamente direcciones IP públicas
-
[EC2.16] Se deben eliminar las listas de control de acceso a la red no utilizadas
-
[EC2.17] Las instancias de Amazon EC2 no deben usar varios ENI
-
[EC2.20] Ambos túneles VPN para unAWSSite-to-Site La conexión VPN debería estar activa
-
[EC2.24] No se deben utilizar los tipos de instancias paravirtuales de Amazon EC2
-
[EC2.28] Los volúmenes de EBS deben estar cubiertos por un plan de respaldo
-
[EC2.55] Las VPC deben configurarse con un punto final de interfaz para la API de ECR
-
[EC2.56] Las VPC deben configurarse con un punto final de interfaz para Docker Registry
-
[EC2.57] Las VPC deben configurarse con un punto final de interfaz para Systems Manager
-
[ECR.1] Los repositorios privados de ECR deben tener configurado el escaneo de imágenes
-
[ECR.3] Los repositorios de ECR deben tener configurada al menos una política de ciclo de vida
-
[ECR.5] Los repositorios de ECR deben estar cifrados y gestionados por el clienteAWS KMS keys
-
[ECS.2] Los servicios de ECS no deberían tener direcciones IP públicas asignadas automáticamente
-
[ECS.4] Los contenedores ECS deben ejecutarse sin privilegios
-
[ECS.8] Los secretos no deben transmitirse como variables de entorno de contenedores
-
[ECS.9] Las definiciones de tareas de ECS deben tener una configuración de registro
-
[ECS.17] Las definiciones de tareas de ECS no deben usar el modo de red host
-
[EFS.2] Los volúmenes de Amazon EFS deben estar en los planes de respaldo
-
[EFS.3] Los puntos de acceso EFS deben aplicar un directorio raíz
-
[EFS.4] Los puntos de acceso EFS deben imponer una identidad de usuario
-
[EKS.1] Los puntos finales del clúster EKS no deben ser de acceso público
-
[EKS.2] Los clústeres de EKS deberían ejecutarse en una versión compatible de Kubernetes
-
[EKS.3] Los clústeres de EKS deben usar secretos de Kubernetes cifrados
-
[EKS.8] Los clústeres de EKS deben tener habilitado el registro de auditoría
-
[ElastiCache.4] los grupos de ElastiCache replicación deben cifrarse en reposo
-
[ElastiCache.5] los grupos de ElastiCache replicación deben cifrarse en tránsito
-
[ElastiCache.7] los ElastiCache clústeres no deben usar el grupo de subredes predeterminado
-
[ELB.3] Los oyentes de Classic Load Balancer deben configurarse con una terminación HTTPS o TLS
-
[ELB.4] Application Load Balancer debe configurarse para eliminar los encabezados http no válidos
-
[ELB.5] El registro de aplicaciones y balanceadores de carga clásicos debe estar habilitado
-
[ELB.7] Los balanceadores de carga clásicos deberían tener habilitado el drenaje de conexiones
-
[ELB.10] Classic Load Balancer debe abarcar varias zonas de disponibilidad
-
[ELB.16] Los balanceadores de carga de aplicaciones deben estar asociados a unAWS WAFACL web
-
[EMR.1] Los nodos principales del clúster de Amazon EMR no deben tener direcciones IP públicas
-
[EMR.2] La configuración de acceso público del bloque Amazon EMR debe estar habilitada
-
[EMR.3] Las configuraciones de seguridad de Amazon EMR deben cifrarse en reposo
-
[EMR.4] Las configuraciones de seguridad de Amazon EMR deben cifrarse en tránsito
-
[ES.1] Los dominios de Elasticsearch deben tener activado el cifrado en reposo
-
[ES.2] Los dominios de Elasticsearch no deben ser de acceso público
-
[ES.3] Los dominios de Elasticsearch deben cifrar los datos enviados entre nodos
-
[ES.4] Debe estar habilitado el registro de errores de dominio de Elasticsearch en Logs CloudWatch
-
[ES.5] Los dominios de Elasticsearch deben tener habilitado el registro de auditoría
-
[ES.6] Los dominios de Elasticsearch deben tener al menos tres nodos de datos
-
[ES.7] Los dominios de Elasticsearch deben configurarse con al menos tres nodos maestros dedicados
-
[Glue.4]AWS GlueLos trabajos de Spark deberían ejecutarse en versiones compatibles deAWS Glue
-
[IAM.1] Las políticas de IAM no deberían permitir todos los privilegios administrativos «*»
-
[IAM.2] Los usuarios de IAM no deberían tener políticas de IAM adjuntas
-
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
-
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
-
[IAM.6] La MFA de hardware debe estar habilitada para el usuario root
-
[IAM.7] Las políticas de contraseñas para los usuarios de IAM deben tener configuraciones sólidas
-
[IAM.8] Se deben eliminar las credenciales de usuario de IAM no utilizadas
-
[IAM.19] La MFA debe estar habilitada para todos los usuarios de IAM
-
[Kinesis.1] Las transmisiones de Kinesis deben cifrarse en reposo
-
[Lambda.1] Las políticas de funciones Lambda deberían prohibir el acceso público
-
[Lambda.2] Las funciones Lambda deben utilizar tiempos de ejecución compatibles
-
[Lambda.5] Las funciones de VPC Lambda deben funcionar en varias zonas de disponibilidad
-
[Lambda.7] Las funciones Lambda deben tenerAWS X-Rayel rastreo activo está habilitado
-
[MSK.1] Los clústeres de MSK deben cifrarse en tránsito entre los nodos de intermediación
-
[MSK.2] Los clústeres de MSK deberían tener configurada una supervisión mejorada
-
[MQ.2] Los corredores de ActiveMQ deben transmitir los registros de auditoría a CloudWatch
-
[MQ.5] Los corredores de ActiveMQ deberían usar el modo de implementación active/standby
-
[MQ.6] Los corredores de RabbitMQ deberían usar el modo de despliegue de clústeres
-
[Neptune.1] Los clústeres de bases de datos de Neptune deben cifrarse en reposo
-
[Neptune.3] Las instantáneas del clúster de base de datos de Neptune no deben ser públicas
-
[Neptune.6] Las instantáneas del clúster de base de datos de Neptune deben cifrarse en reposo
-
[NetworkFirewall.2] El registro de Network Firewall debe estar habilitado
-
[NetworkFirewall.6] El grupo de reglas de Stateless Network Firewall no debe estar vacío
-
[Opensearch.1] OpenSearch los dominios deben tener activado el cifrado en reposo
-
[Opensearch.2] OpenSearch los dominios no deben ser de acceso público
-
[Opensearch.3] OpenSearch los dominios deben cifrar los datos enviados entre nodos
-
[Opensearch.4] El registro de errores de OpenSearch dominio en Logs debe estar habilitado CloudWatch
-
[Opensearch.5] OpenSearch los dominios deben tener activado el registro de auditoría
-
[Opensearch.6] OpenSearch los dominios deben tener al menos tres nodos de datos
-
[Opensearch.7] OpenSearch los dominios deben tener habilitado un control de acceso detallado
-
[Opensearch.10] OpenSearch los dominios deben tener instalada la última actualización de software
-
[Opensearch.11] OpenSearch los dominios deben tener al menos tres nodos principales dedicados
-
[PCA.1]AWS Private CALa autoridad emisora de certificados raíz debe estar deshabilitada
-
[RDS.3] Las instancias de base de datos de RDS deben tener habilitado el cifrado en reposo
-
[RDS.4] Las instantáneas de clústeres y bases de datos de RDS deben cifrarse cuando están inactivas
-
[RDS.5] Las instancias de base de datos de RDS deben configurarse con varias zonas de disponibilidad
-
[RDS.6] Se debe configurar una supervisión mejorada para las instancias de base de datos de RDS
-
[RDS.7] Los clústeres de RDS deben tener habilitada la protección contra la eliminación
-
[RDS.9] Las instancias de base de datos de RDS deben publicar registros en Logs CloudWatch
-
[RDS.10] La autenticación de IAM debe configurarse para las instancias de RDS
-
[RDS.11] Las instancias RDS deben tener habilitadas las copias de seguridad automáticas
-
[RDS.12] La autenticación de IAM debe configurarse para los clústeres de RDS
-
[RDS.13] Las actualizaciones automáticas de las versiones secundarias de RDS deben estar habilitadas
-
[RDS.14] Los clústeres de Amazon Aurora deben tener habilitada la función de retroceso
-
[RDS.23] Las instancias de RDS no deben usar el puerto predeterminado de un motor de base de datos
-
[RDS.26] Las instancias de base de datos de RDS deben protegerse mediante un plan de respaldo
-
[RDS.27] Los clústeres de bases de datos de RDS deben cifrarse en reposo
-
[Redshift.1] Los clústeres de Amazon Redshift deberían prohibir el acceso público
-
[Redshift.2] Las conexiones a los clústeres de Amazon Redshift deben cifrarse en tránsito
-
[Redshift.3] Los clústeres de Amazon Redshift deben tener habilitadas las instantáneas automáticas
-
[Redshift.4] Los clústeres de Amazon Redshift deben tener habilitado el registro de auditoría
-
[Redshift.7] Los clústeres de Redshift deberían utilizar un enrutamiento de VPC mejorado
-
[Redshift.10] Los clústeres de Redshift deben cifrarse en reposo
-
[Route53.2] Las zonas alojadas públicas de Route 53 deberían registrar las consultas de DNS
-
[S3.2] Los buckets de uso general de S3 deberían bloquear el acceso público de lectura
-
[S3.3] Los cubos de uso general de S3 deberían bloquear el acceso de escritura público
-
[S3.5] Los depósitos de uso general de S3 deberían requerir solicitudes para usar SSL
-
[S3.7] Los cubos de uso general de S3 deben utilizar la replicación entre regiones
-
[S3.8] Los depósitos de uso general de S3 deberían bloquear el acceso público
-
[S3.9] Los depósitos de uso general de S3 deben tener habilitado el registro de acceso al servidor
-
[S3.11] Los buckets de uso general de S3 deben tener habilitadas las notificaciones de eventos
-
[S3.13] Los depósitos de uso general de S3 deben tener configuraciones de ciclo de vida
-
[S3.14] Los buckets de uso general de S3 deben tener habilitado el control de versiones
-
[S3.15] Los depósitos de uso general de S3 deberían tener activado Object Lock
-
[S3.17] Los depósitos de uso general de S3 deben cifrarse en reposo conAWS KMS keys
-
[S3.19] Los puntos de acceso S3 deben tener habilitada la configuración de bloqueo de acceso público
-
[S3.20] Los buckets de uso general de S3 deben tener habilitada la eliminación de MFA
-
[SageMaker.2] las instancias de SageMaker notebook deben lanzarse en una VPC personalizada
-
[SageMaker.3] Los usuarios no deberían tener acceso root a las instancias de SageMaker notebook
-
[SecretsManager.1] Los secretos de Secrets Manager deberían tener habilitada la rotación automática
-
[SecretsManager.3] Eliminar los secretos de Secrets Manager no utilizados
-
[SecretsManager.4] Los secretos de Secrets Manager deben rotarse en un número específico de días
-
[SNS.1] Los temas de SNS deben cifrarse en reposo medianteAWS KMS
-
[SSM.1] Las instancias de Amazon EC2 deben administrarse medianteAWS Systems Manager
-
[Transfer.3] Los conectores Transfer Family deben tener habilitado el registro
-
[WAF.1]AWS WAFEl registro de ACL web global clásico debe estar habilitado
-
[WAF.2]AWS WAFLas reglas regionales clásicas deben tener al menos una condición
-
[WAF.3]AWS WAFLos grupos de reglas regionales clásicos deben tener al menos una regla
-
[WAF.4]AWS WAFLas ACL web regionales clásicas deben tener al menos una regla o grupo de reglas
-
[WAF.6]AWS WAFLas reglas globales clásicas deben tener al menos una condición
-
[WAF.7]AWS WAFLos grupos de reglas globales clásicos deben tener al menos una regla
-
[WAF.8]AWS WAFLas ACL web globales clásicas deben tener al menos una regla o grupo de reglas
-
[WAF.10]AWS WAFLas ACL web deben tener al menos una regla o grupo de reglas
-
[WAF.12]AWS WAFlas reglas deben tener CloudWatch las métricas habilitadas