Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# NIST SP 800-171, révision 2 dans Security Hub CSPM
La publication spéciale 800-171 révision 2 du NIST (NIST SP 800-171 Rev. 2) est un cadre de cybersécurité et de conformité développé par le National Institute of Standards and Technology (NIST), une agence qui fait partie du département du commerce des États-Unis. Ce cadre de conformité fournit des exigences de sécurité recommandées pour protéger la confidentialité des informations contrôlées non classifiées dans les systèmes et les organisations qui ne font pas partie du gouvernement fédéral américain. *Les informations contrôlées non classifiées*, également appelées *CUI*, sont des informations sensibles qui ne répondent pas aux critères de classification gouvernementaux mais qui doivent être protégées. Il s'agit d'informations considérées comme sensibles créées ou détenues par le gouvernement fédéral américain ou par d'autres entités pour le compte du gouvernement fédéral américain.
Le NIST SP 800-171 Rev. 2 fournit des exigences de sécurité recommandées pour protéger la confidentialité du CUI lorsque :
+ Les informations se trouvent dans des systèmes et des organisations non fédéraux,
+ L'organisation non fédérale ne collecte ni ne conserve d'informations pour le compte d'un organisme fédéral, ni n'utilise ou n'exploite un système pour le compte d'un organisme, et
+ Il n'existe aucune exigence de sauvegarde spécifique pour protéger la confidentialité des CUI prescrite par la loi d'autorisation, la réglementation ou la politique gouvernementale pour la catégorie CUI répertoriée dans le registre CUI.
Les exigences s'appliquent à tous les composants des systèmes et organisations non fédéraux qui traitent, stockent ou transmettent les CUI, ou fournissent une protection de sécurité pour les composants. Pour plus d'informations, consultez le [NIST SP 800-171 Rev. 2](https://csrc.nist.gov/pubs/sp/800/171/r2/upd1/final) dans le centre de ressources sur la sécurité *informatique du NIST.*
AWS Security Hub CSPM fournit des contrôles de sécurité qui répondent à un sous-ensemble des exigences du NIST SP 800-171 Revision 2. Les contrôles effectuent des contrôles de sécurité automatisés pour certaines ressources Services AWS et ressources. Pour activer et gérer ces contrôles, vous pouvez activer le framework NIST SP 800-171 Revision 2 en tant que norme dans Security Hub CSPM. Notez que les commandes ne sont pas compatibles avec les exigences du NIST SP 800-171 révision 2 qui nécessitent des vérifications manuelles.
**Topics**
+ [Configuration de l'enregistrement des ressources pour la norme](#standards-reference-nist-800-171-recording)
+ [Déterminer quels contrôles s'appliquent à la norme](#standards-reference-nist-800-171-controls)
## Configuration de l'enregistrement des ressources pour les contrôles qui s'appliquent à la norme
Pour optimiser la couverture et la précision des résultats, il est important d'activer et de configurer l'enregistrement des ressources AWS Config avant d'activer la norme NIST SP 800-171 Revision 2 dans AWS Security Hub CSPM. Lorsque vous configurez l'enregistrement des ressources, veillez également à l'activer pour tous les types de AWS ressources contrôlés par les contrôles applicables à la norme. Sinon, Security Hub CSPM risque de ne pas être en mesure d'évaluer les ressources appropriées et de générer des résultats précis pour les contrôles applicables à la norme.
Pour plus d'informations sur la manière dont Security Hub CSPM utilise l'enregistrement des ressources dans AWS Config, consultez. [Activation et configuration AWS Config pour Security Hub CSPM](securityhub-setup-prereqs.md) Pour plus d'informations sur la configuration de l'enregistrement des ressources dans AWS Config, voir [Utilisation de l'enregistreur de configuration](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) dans le *Guide du AWS Config développeur*.
Le tableau suivant indique les types de ressources à enregistrer pour les contrôles qui s'appliquent à la norme NIST SP 800-171 Revision 2 dans Security Hub CSPM.
| Service AWS | Types de ressources |
| --- | --- |
| AWS Certificate Manager(ACM) | `AWS::ACM::Certificate` |
| Amazon API Gateway | `AWS::ApiGateway::Stage` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` |
| Amazon Elastic Compute Cloud (Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` |
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer` |
| Gestion des identités et des accès AWS(JE SUIS) | `AWS::IAM::Policy`, `AWS::IAM::User` |
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` |
| AWS Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` |
| Amazon Simple Storage Service (Amazon S3) | `AWS::S3::Bucket` |
| Amazon Simple Notification Service (Amazon SNS) | `AWS::SNS::Topic` |
| AWS Systems Manager(SSM) | `AWS::SSM::PatchCompliance` |
| AWS WAF | `AWS::WAFv2::RuleGroup` |
## Déterminer quels contrôles s'appliquent à la norme
La liste suivante indique les contrôles qui répondent aux exigences du NIST SP 800-171 Revision 2 et s'appliquent à la norme NIST SP 800-171 Revision 2 dans Security Hub AWS CSPM. Pour plus de détails sur les exigences spécifiques prises en charge par un contrôle, choisissez le contrôle. Reportez-vous ensuite au champ **Exigences connexes** dans les détails du contrôle. Ce champ indique chaque exigence NIST prise en charge par le contrôle. Si le champ ne spécifie aucune exigence NIST particulière, le contrôle ne prend pas en charge cette exigence.
+ [[ACM.1] Les certificats importés et émis par ACM doivent être renouvelés après une période spécifiée](acm-controls.md#acm-1)
+ [[APIGateway.2] Les étapes de l'API REST d'API Gateway doivent être configurées pour utiliser des certificats SSL pour l'authentification du backend](apigateway-controls.md#apigateway-2)
+ [[CloudFront.7] les CloudFront distributions doivent utiliser des certificats personnalisés SSL/TLS](cloudfront-controls.md#cloudfront-7)
+ [[CloudFront.10] les CloudFront distributions ne doivent pas utiliser de protocoles SSL obsolètes entre les emplacements périphériques et les origines personnalisées](cloudfront-controls.md#cloudfront-10)
+ [[CloudTrail.2] CloudTrail doit avoir le chiffrement au repos activé](cloudtrail-controls.md#cloudtrail-2)
+ [[CloudTrail.3] Au moins une CloudTrail piste doit être activée](cloudtrail-controls.md#cloudtrail-3)
+ [[CloudTrail.4] La validation du fichier CloudTrail journal doit être activée](cloudtrail-controls.md#cloudtrail-4)
+ [[CloudWatch.1] Un filtre logarithmique et une alarme doivent exister pour l'utilisation de l'utilisateur « root »](cloudwatch-controls.md#cloudwatch-1)
+ [[CloudWatch.2] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les appels d'API non autorisés](cloudwatch-controls.md#cloudwatch-2)
+ [[CloudWatch.4] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de politique IAM](cloudwatch-controls.md#cloudwatch-4)
+ [[CloudWatch.5] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications CloudTrail de configuration](cloudwatch-controls.md#cloudwatch-5)
+ [[CloudWatch.6] Assurez-vous qu'un filtre logarithmique et une alarme existent en cas d'échec d' AWS Management Console authentification](cloudwatch-controls.md#cloudwatch-6)
+ [[CloudWatch.7] Assurez-vous qu'un filtre métrique et une alarme existent pour désactiver ou planifier la suppression des clés gérées par le client](cloudwatch-controls.md#cloudwatch-7)
+ [[CloudWatch.8] Assurez-vous qu'un filtre de métriques de log et une alarme existent pour les modifications de politique du compartiment S3](cloudwatch-controls.md#cloudwatch-8)
+ [[CloudWatch.9] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications AWS Config de configuration](cloudwatch-controls.md#cloudwatch-9)
+ [[CloudWatch.10] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications du groupe de sécurité](cloudwatch-controls.md#cloudwatch-10)
+ [[CloudWatch.11] Assurez-vous qu'un filtre log métrique et une alarme existent pour les modifications apportées aux listes de contrôle d'accès réseau (NACL)](cloudwatch-controls.md#cloudwatch-11)
+ [[CloudWatch.12] Assurez-vous qu'un filtre log métrique et une alarme existent pour les modifications apportées aux passerelles réseau](cloudwatch-controls.md#cloudwatch-12)
+ [[CloudWatch.13] Assurez-vous qu'un filtre métrique journal et une alarme existent pour les modifications de la table de routage](cloudwatch-controls.md#cloudwatch-13)
+ [[CloudWatch.14] Assurez-vous qu'un filtre logarithmique et une alarme existent pour les modifications du VPC](cloudwatch-controls.md#cloudwatch-14)
+ [[CloudWatch.15] les CloudWatch alarmes doivent avoir des actions spécifiées configurées](cloudwatch-controls.md#cloudwatch-15)
+ [[EC2.6] La journalisation des flux VPC doit être activée dans tous VPCs](ec2-controls.md#ec2-6)
+ [[EC2.10] Amazon EC2 doit être configuré pour utiliser les points de terminaison VPC créés pour le service Amazon EC2](ec2-controls.md#ec2-10)
+ [[EC2.13] Les groupes de sécurité ne doivent pas autoriser l'entrée depuis 0.0.0.0/0 ou : :/0 vers le port 22](ec2-controls.md#ec2-13)
+ [[EC2.16] Les listes de contrôle d'accès réseau non utilisées doivent être supprimées](ec2-controls.md#ec2-16)
+ [[EC2.18] Les groupes de sécurité ne devraient autoriser le trafic entrant illimité que pour les ports autorisés](ec2-controls.md#ec2-18)
+ [[EC2.19] Les groupes de sécurité ne doivent pas autoriser un accès illimité aux ports présentant un risque élevé](ec2-controls.md#ec2-19)
+ [[EC2.20] Les deux tunnels VPN pour une connexion AWS Site-to-Site VPN doivent être actifs](ec2-controls.md#ec2-20)
+ [[EC2.21] Le réseau ne ACLs doit pas autoriser l'entrée depuis 0.0.0.0/0 vers le port 22 ou le port 3389](ec2-controls.md#ec2-21)
+ [[EC2.51] La journalisation des connexions client doit être activée sur les points de terminaison VPN EC2](ec2-controls.md#ec2-51)
+ [[ELB.2] Les équilibreurs de charge classiques avec SSL/HTTPS écouteurs doivent utiliser un certificat fourni par AWS Certificate Manager](elb-controls.md#elb-2)
+ [[ELB.3] Les écouteurs Classic Load Balancer doivent être configurés avec une terminaison HTTPS ou TLS](elb-controls.md#elb-3)
+ [[ELB.8] Les équilibreurs de charge classiques dotés d'écouteurs SSL doivent utiliser une politique de sécurité prédéfinie d'une durée élevée AWS Config](elb-controls.md#elb-8)
+ [[GuardDuty.1] GuardDuty doit être activé](guardduty-controls.md#guardduty-1)
+ [[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « \* » complets](iam-controls.md#iam-1)
+ [[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM](iam-controls.md#iam-2)
+ [[IAM.7] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-7)
+ [[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées](iam-controls.md#iam-8)
+ [[IAM.10] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte](iam-controls.md#iam-10)
+ [[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule](iam-controls.md#iam-11)
+ [[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule](iam-controls.md#iam-12)
+ [[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole](iam-controls.md#iam-13)
+ [[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre](iam-controls.md#iam-14)
+ [[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus](iam-controls.md#iam-15)
+ [[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe](iam-controls.md#iam-16)
+ [[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support](iam-controls.md#iam-18)
+ [[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM](iam-controls.md#iam-19)
+ [[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services](iam-controls.md#iam-21)
+ [[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées](iam-controls.md#iam-22)
+ [[NetworkFirewall.2] La journalisation du Network Firewall doit être activée](networkfirewall-controls.md#networkfirewall-2)
+ [[NetworkFirewall.3] Les politiques de Network Firewall doivent être associées à au moins un groupe de règles](networkfirewall-controls.md#networkfirewall-3)
+ [[NetworkFirewall.5] L'action apatride par défaut pour les politiques de Network Firewall doit être drop or forward pour les paquets fragmentés](networkfirewall-controls.md#networkfirewall-5)
+ [[NetworkFirewall.6] Le groupe de règles Stateless Network Firewall ne doit pas être vide](networkfirewall-controls.md#networkfirewall-6)
+ [[S3.5] Les compartiments à usage général S3 devraient nécessiter des demandes d'utilisation du protocole SSL](s3-controls.md#s3-5)
+ [[S3.6] Les politiques générales relatives aux compartiments S3 devraient restreindre l'accès à d'autres Comptes AWS](s3-controls.md#s3-6)
+ [[S3.9] La journalisation des accès au serveur doit être activée dans les compartiments S3 à usage général](s3-controls.md#s3-9)
+ [[S3.11] Les notifications d'événements devraient être activées dans les compartiments S3 à usage général](s3-controls.md#s3-11)
+ [[S3.14] La gestion des versions des compartiments S3 à usage général devrait être activée](s3-controls.md#s3-14)
+ [[S3.17] Les compartiments S3 à usage général doivent être chiffrés au repos avec AWS KMS keys](s3-controls.md#s3-17)
+ [[SNS.1] Les sujets SNS doivent être chiffrés au repos à l'aide de AWS KMS](sns-controls.md#sns-1)
+ [[SSM.2] Les instances Amazon EC2 gérées par Systems Manager doivent avoir un statut de conformité aux correctifs de COMPLIANT après l'installation d'un correctif](ssm-controls.md#ssm-2)
+ [Les AWS WAF règles [WAF.12] doivent avoir des métriques activées CloudWatch](waf-controls.md#waf-12)