As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
NIST SP 800-53 Rev. 5 no Security Hub
O NIST SP 800-53 Rev. 5 é uma estrutura de segurança cibernética e conformidade desenvolvida pelo National Institute of Standards and Technology (NIST), uma agência que faz parte do Departamento de Comércio dos EUA. Essa estrutura de conformidade ajuda você a proteger a disponibilidade, a confidencialidade e a integridade de seus sistemas de informações e recursos essenciais. Agências e prestadores de serviços do governo federal dos EUA devem estar em conformidade com o NIST SP 800-53 para proteger seus sistemas, mas empresas privadas podem usá-la voluntariamente como uma estrutura orientadora para reduzir o risco de segurança cibernética.
O Security Hub fornece controles que suportam determinados requisitos do NIST SP 800-53. Esses controles são avaliados por meio de verificações de segurança automatizadas. Os controles do Security Hub não suportam os requisitos do NIST SP 800-53 que exigem verificações manuais. Além disso, os controles do Security Hub suportam apenas os requisitos automatizados do NIST SP 800-53, listados como requisitos relacionados nos detalhes de cada controle. Escolha um controle da lista a seguir para ver seus detalhes. No momento, os requisitos relacionados não mencionados nos detalhes do controle não são suportados pelo Security Hub.
Ao contrário de outras estruturas, o NIST SP 800-53 não é prescritivo sobre como seus requisitos devem ser avaliados. Em vez disso, a estrutura fornece diretrizes, e os controles NIST SP 800-53 do Security Hub representam a compreensão do serviço sobre elas.
Se você usar a integração do Security Hub AWS Organizations para gerenciar centralmente várias contas e quiser habilitar em lote o NIST SP 800-53 em todas elas, poderá executar um script de várias contas do Security Hub a partir da conta
Para obter mais informações sobre o NIST SP 800-53 Rev. 5, consulte o NIST Computer Security Resource Center
Controles que se aplicam ao NIST SP 800-53 Rev. 5
[Account.1] Informações de contato de segurança devem ser fornecidas para uma Conta da AWS
[Account.2] Contas da AWS deve fazer parte de uma organização AWS Organizations
[APIGateway.1] O API gateway REST e o registro WebSocket API de execução devem estar habilitados
[APIGateway.3] Os REST API estágios do API gateway devem ter o AWS X-Ray rastreamento ativado
[APIGateway.4] O API gateway deve ser associado a uma Web WAF ACL
[APIGateway.5] Os dados REST API do cache do API gateway devem ser criptografados em repouso
[APIGateway.8] As rotas de API gateway devem especificar um tipo de autorização
[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2
[AppSync.5] O AWS AppSync APIs GraphQL não deve ser autenticado com chaves API
[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve abranger várias zonas de disponibilidade
[Backup.1] Os pontos de recuperação do AWS Backup devem ser criptografados em repouso
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
[CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF
[CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS
[CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada
[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada
[CloudTrail.5] CloudTrail trilhas devem ser integradas com o Amazon CloudWatch Logs
[CloudWatch.15] Os alarmes do CloudWatch devem ter ações configuradas especificadas
[CloudWatch.17] As ações de alarme do CloudWatch devem ser ativadas
[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados
[CodeBuild.4] ambientes de CodeBuild projeto devem ter uma duração de registro AWS Config
[DataFirehose.1] Os fluxos de entrega do Firehose devem ser criptografados em repouso
[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas
[DMS.7] as tarefas de DMS replicação para o banco de dados de destino devem ter o registro ativado
[DMS.8] as tarefas de DMS replicação para o banco de dados de origem devem ter o registro ativado
[DMS.9] os DMS endpoints devem usar SSL
[DMS.10] DMS endpoints para bancos de dados Neptune devem ter a autorização habilitada IAM
[DMS.11] DMS endpoints para MongoDB devem ter um mecanismo de autenticação habilitado
[DMS.12] DMS endpoints para Redis OSS deveriam estar habilitados TLS
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos
[DocumentDB.5] Os clusters do Amazon DocumentDB devem ter a proteção contra exclusão ativada
[DynamoDB.2] As tabelas do DynamoDB devem ter a recuperação ativada point-in-time
[DynamoDB.3] Os clusters do DynamoDB Accelerator () devem ser criptografados em repouso DAX
[DynamoDB.4] As tabelas do DynamoDB devem estar presentes em um plano de backup
[DynamoDB.6] As tabelas do DynamoDB devem ter a proteção contra exclusão habilitada
[DynamoDB.7] Os clusters do acelerador do DynamoDB devem ser criptografados em trânsito
[EC2.1] Os snapshots do Amazon EBS não devem ser restauráveis publicamente
[EC2.2] Os grupos de segurança padrão da VPC não devem permitir tráfego de entrada ou saída
[EC2.3] Os volumes anexados do Amazon EBS devem ser criptografados em repouso
[EC2.4] EC2 As instâncias interrompidas devem ser removidas após um período de tempo especificado
[EC2.6] O registro de fluxo de VPC deve ser ativado em todos VPCs
[EC2.7] A criptografia padrão do EBS deve estar ativada
[EC2.8] as EC2 instâncias devem usar o Instance Metadata Service versão 2 () IMDSv2
[EC2.9] EC2 As instâncias da Amazon não devem ter um endereço público IPv4
[EC2.10] A Amazon EC2 deve ser configurada para usar endpoints VPC criados para o serviço Amazon EC2
[EC2.12] A Amazon não utilizada EC2 EIPs deve ser removida
[EC2.13] Grupos de segurança não devem permitir a entrada de 0.0.0.0/0 ou: :/0 para a porta 22
[EC2.15] As EC2 sub-redes da Amazon não devem atribuir automaticamente endereços IP públicos
[EC2.16] As listas de controle de acesso à rede não utilizadas devem ser removidas
[EC2.17] EC2 As instâncias da Amazon não devem usar várias ENIs
[EC2.19] Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco
[EC2.20] Ambos os túneis VPN para uma conexão AWS Site-to-Site VPN devem estar ativos
[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389
[EC2.24] Os tipos de instância EC2 paravirtual da Amazon não devem ser usados
[EC2.28] Os volumes do EBS devem ser cobertos por um plano de backup
[EC2.51] Os endpoints EC2 do Client VPN devem ter o registro de conexão do cliente ativado
[EC2.55] VPCs deve ser configurado com um endpoint de interface para a API ECR
[EC2.56] VPCs deve ser configurado com um endpoint de interface para Docker Registry
[EC2.57] VPCs deve ser configurado com um endpoint de interface para Systems Manager
[ECR.1] repositórios ECR privados devem ter a digitalização de imagens configurada
[ECR.2] repositórios ECR privados devem ter a imutabilidade da tag configurada
[ECR.3] os ECR repositórios devem ter pelo menos uma política de ciclo de vida configurada
[ECS.2] ECS os serviços não devem ter endereços IP públicos atribuídos a eles automaticamente
[ECS.3] as definições de ECS tarefas não devem compartilhar o namespace do processo do host
[ECS.4] os ECS contêineres devem ser executados sem privilégios
[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner
[ECS.9] as definições de ECS tarefas devem ter uma configuração de registro
[ECS.12] os ECS clusters devem usar o Container Insights
[EFS.2] EFS Os volumes da Amazon devem estar em planos de backup
[EFS.3] os pontos de EFS acesso devem impor um diretório raiz
[EFS.4] os pontos de EFS acesso devem impor uma identidade de usuário
[EFS.6] destinos de EFS montagem não devem ser associados a uma sub-rede pública
[EKS.1] os endpoints EKS do cluster não devem ser acessíveis ao público
[EKS.2] os EKS clusters devem ser executados em uma versão compatível do Kubernetes
[EKS.3] os EKS clusters devem usar segredos criptografados do Kubernetes
[EKS.8] os EKS clusters devem ter o registro de auditoria ativado
[ElastiCache.1] Os clusters ElastiCache (RedisOSS) devem ter backups automáticos habilitados
[ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado
[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso
[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito
[ElastiCache.7] os ElastiCache clusters não devem usar o grupo de sub-rede padrão
[ELB.3] Os ouvintes do Classic Load Balancer devem ser configurados com ou terminação HTTPS TLS
[ELB.4] O Application Load Balancer deve ser configurado para eliminar cabeçalhos http inválidos
[ELB.5] O registro de aplicativos e balanceadores de carga clássicos deve estar ativado
[ELB.7] Os balanceadores de carga clássicos devem ter a drenagem de conexão ativada
[ELB.9] Os balanceadores de carga clássicos devem ter o balanceamento de carga entre zonas ativado
[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade
[ELB.16] Os balanceadores de carga de aplicativos devem ser associados a uma web AWS WAF ACL
[EMR.1] Os nós primários do cluster do Amazon EMR não devem ter endereços IP públicos
[EMR.2] A configuração de bloqueio de acesso público do Amazon EMR deve estar habilitada
[EMR.3] As configurações de segurança do Amazon EMR devem ser criptografadas em repouso
[EMR.4] As configurações de segurança do Amazon EMR devem ser criptografadas em trânsito
[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.
[ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis
[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós
[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado
[ES.5] Os domínios do Elasticsearch devem ter o registro em log de auditoria ativado
[ES.6] Os domínios do Elasticsearch devem ter pelo menos três nós de dados
[EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada
[FSx.2] FSx para sistemas de arquivos Lustre, devem ser configurados para copiar tags para backups
[GuardDuty.1] GuardDuty deve ser ativado
[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "*"
[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas
[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos
[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir
[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console
[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz
[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes
[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas
[IAM.9] A MFA deve estar habilitada para o usuário raiz
[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM
[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso
[KMS.3] não AWS KMS keys deve ser excluído acidentalmente
A rotação de AWS KMS teclas [KMS.4] deve estar ativada
[Lambda.1] As funções do Lambda.1 devem proibir o acesso público
[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis
[Lambda.3] As funções Lambda devem estar em um VPC
[Lambda.5] As funções do VPC Lambda devem operar em várias zonas de disponibilidade
[Macie.1] O Amazon Macie deve estar habilitado
[Macie.2] A descoberta automatizada de dados confidenciais do Macie deve estar habilitada
[MSK.1] os MSK clusters devem ser criptografados em trânsito entre os nós do corretor
[MSK.2] os MSK clusters devem ter um monitoramento aprimorado configurado
[MQ.2] Os corretores do ActiveMQ devem transmitir os registros de auditoria para CloudWatch
[MQ.3] Os agentes do Amazon MQ devem ter a atualização automática de versões secundárias habilitada
[MQ.5] Os agentes do ActiveMQ devem usar o modo de implantação ativo/em espera
[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster
[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso
[Neptune.3] Os instantâneos do cluster de banco de dados do Neptune não devem ser públicos
[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada
[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados
[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso
[NetworkFirewall.2] O registro em log do Network Firewall deve ser habilitado
[NetworkFirewall.6] O grupo de regras de firewall de rede sem estado não deve estar vazio
[NetworkFirewall.9] Os firewalls do firewall de rede devem ter a proteção contra exclusão ativada
Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada
Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público
Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós
O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado
Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado
Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados
Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado
Os OpenSearch domínios [Opensearch.10] devem ter a atualização de software mais recente instalada
Os OpenSearch domínios [Opensearch.11] devem ter pelo menos três nós primários dedicados
[PCA.1] a autoridade de certificação AWS Private CA raiz deve ser desativada
[RDS.1] Os instantâneos do RDS devem ser privados
[RDS.3] As instâncias de banco de dados do RDS devem ter a criptografia em repouso habilitada.
[RDS.6] O monitoramento aprimorado deve ser configurado para instâncias de banco de dados do RDS
[RDS.7] Os clusters RDS devem ter a proteção contra exclusão ativada
[RDS.8] As instâncias de banco de dados do RDS deve ter a proteção contra exclusão habilitada
[RDS.9] As instâncias de banco de dados do RDS devem publicar registros no Logs CloudWatch
[RDS.10] A autenticação do IAM deve ser configurada para instâncias do RDS
[RDS.11] As instâncias do RDS devem ter backups automáticos habilitados
[RDS.12] A autenticação do IAM deve ser configurada para clusters do RDS
[RDS.13] As atualizações automáticas de versões secundárias do RDS devem ser ativadas
[RDS.14] Os clusters do Amazon Aurora devem ter o backtracking ativado
[RDS.18] As instâncias do RDS devem ser implantadas em uma VPC
[RDS.23] As instâncias do RDS não devem usar uma porta padrão do mecanismo de banco de dados
[RDS.26] As instâncias de banco de dados do RDS devem ser protegidas por um plano de backup
[RDS.27] Os clusters de banco de dados do RDS devem ser criptografados em repouso
[PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público
[Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito
[Redshift.3] Os clusters do Amazon Redshift devem ter instantâneos automáticos habilitados
[Redshift.4] Os clusters do Amazon Redshift devem ter o registro de auditoria ativado
[Redshift.7] Os clusters do Redshift devem usar roteamento aprimorado VPC
[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão
[Redshift.9] Os clusters do Redshift não devem usar o nome do banco de dados padrão
[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS
[S3.2] Os buckets de uso geral do S3 devem bloquear o acesso público para leitura
[S3.3] Os buckets de uso geral do S3 devem bloquear o acesso público para gravação
[S3.5] Os buckets de uso geral do S3 devem exigir solicitações de uso SSL
[S3.6] As políticas de bucket de uso geral do S3 devem restringir o acesso a outros Contas da AWS
[S3.7] Os buckets de uso geral do S3 devem usar a replicação entre regiões
[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público
[S3.9] Os buckets de uso geral do S3 devem ter o registro em log de acesso ao servidor habilitado
[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos habilitadas
[S3.12] não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3
[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida
[S3.14] Os buckets de uso geral do S3 devem ter o versionamento habilitado
[S3.15] Os buckets de uso geral do S3 devem ter o Bloqueio de Objetos habilitado
[S3.17] Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys
[S3.19] Os pontos de acesso do S3 devem ter configurações de bloqueio do acesso público habilitadas
[S3.20] Os buckets de uso geral do S3 devem ter a exclusão ativada MFA
[SageMaker.1] As instâncias do notebook Amazon SageMaker AI não devem ter acesso direto à Internet
[SageMaker.2] As instâncias do notebook SageMaker AI devem ser iniciadas em uma VPC personalizada
[SageMaker.3] Os usuários não devem ter acesso root às instâncias do notebook SageMaker AI
[SecretsManager.1] Os segredos do Secrets Manager devem ter a rotação automática ativada
[SecretsManager.3] Remover segredos não utilizados do Secrets Manager
[SNS.1] os SNS tópicos devem ser criptografados em repouso usando AWS KMS
[SQS.1] As filas do Amazon SQS devem ser criptografadas em repouso
[SSM.1] EC2 As instâncias da Amazon devem ser gerenciadas por AWS Systems Manager
[SSM.4] SSM documentos não devem ser públicos
[Transfer.2] Os servidores Transfer Family não devem usar FTP protocolo para conexão de endpoints
[WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado
[WAF.2] As regras regionais AWS WAF clássicas devem ter pelo menos uma condição
[WAF.3] Os grupos de regras regionais AWS WAF clássicos devem ter pelo menos uma regra
[WAF.4] A web regional AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
[WAF.10] a AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras
[WAF.11] o ACL registro AWS WAF na web deve estar ativado
[WAF.12] AWS WAF as regras devem ter CloudWatch métricas ativadas
