As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
NIST SP 800-171 Revisão 2 no CSPM do Security Hub
A Publicação Especial 800-171 Revisão 2 do NIST (NIST SP 800-171 Rev. 2) é uma estrutura de segurança cibernética e conformidade desenvolvida pelo Instituto Nacional de Padrões e Tecnologia (NIST), uma agência que faz parte da. U.S Departamento de Comércio. Essa estrutura de conformidade fornece os requisitos de segurança recomendados para proteger a confidencialidade de informações não classificadas controladas em sistemas e organizações que não fazem parte do governo federal U.S. Informações não classificadas controladas, também conhecidas como CUI, são informações sensíveis que não atendem aos critérios governamentais de classificação, mas devem ser protegidas. São informações consideradas confidenciais e criadas ou possuídas pelo U.S governo federal ou por outras entidades em nome do governo federal U.S.
O NIST SP 800-171 Rev. 2 fornece os requisitos de segurança recomendados para proteger a confidencialidade da CUI quando:
-
As informações residem em sistemas e organizações não federais,
-
A organização não federal não está coletando ou mantendo informações em nome de uma agência federal ou usando ou operando um sistema em nome de uma agência, e
-
Não há requisitos de proteção específicos para proteger a confidencialidade da CUI prescritos pela lei, regulamentação ou política governamental autorizadora para a categoria de CUI listada no Registro de CUI.
Os requisitos se aplicam a todos os componentes de sistemas e organizações não federais que processam, armazenam ou transmitem CUI ou fornecem proteção de segurança para os componentes. Para obter mais informações sobre o NIST SP 800-171 Rev. 2
AWSO Security Hub CSPM fornece controles de segurança que suportam um subconjunto dos requisitos do NIST SP 800-171 Revisão 2. Os controles realizam verificações de segurança automatizadas para determinados Serviços da AWS recursos. Para habilitar e gerenciar esses controles, é possível habilitar a estrutura do NIST SP 800-171 Revisão 2 como padrão no CSPM do Security Hub. Observe que os controles não oferecem suporte aos requisitos do NIST SP 800-171 Revisão 2 que exigem verificações manuais.
Tópicos
Configuração do registro de recursos para controles que se aplicam ao padrão
Para otimizar a cobertura e a precisão das descobertas, é importante habilitar e configurar o registro de recursos AWS Config antes de habilitar o padrão NIST SP 800-171 Revisão 2 no Security Hub AWS CSPM. Ao configurar o registro de recursos, certifique-se também de habilitá-lo para todos os tipos de AWS recursos que são verificados pelos controles que se aplicam ao padrão. Caso contrário, o CSPM do Security Hub pode não ser capaz de avaliar os recursos adequados e gerar descobertas precisas para os controles que se apliquem ao padrão.
Para obter informações sobre como o Security Hub CSPM usa a gravação de recursos emAWS Config, consulte. Habilitando e configurandoAWS Configpara Security Hub CSPM Para obter informações sobre como configurar a gravação de recursos emAWS Config, consulte Como trabalhar com o gravador de configuração no Guia do AWS Configdesenvolvedor.
A tabela a seguir especifica os tipos de recursos a serem registrados para controles que se aplicam ao padrão NIST SP 800-171 Revisão 2 no CSPM do Security Hub.
| AWS service (Serviço da AWS) | Resource types |
|---|---|
| Gerenciador de certificados da AWS (ACM) |
|
| Amazon API Gateway |
|
| Amazon CloudFront |
|
| Amazon CloudWatch |
|
| Amazon Elastic Compute Cloud (Amazon EC2) |
|
| Elastic Load Balancing |
|
| AWS Identity and Access Management(IAM) |
|
| AWS Key Management Service (AWS KMS) |
|
| AWS Network Firewall |
|
| Amazon Simple Storage Service (Amazon S3) |
|
| Amazon Simple Notification Service (Amazon SNS) |
|
| AWS Systems Manager (SSM) |
|
| AWS WAF |
|
Determinação de quais controles se aplicam ao padrão
A lista a seguir especifica os controles que suportam os requisitos do NIST SP 800-171 Revisão 2 e se aplicam ao padrão NIST SP 800-171 Revisão 2 no Security Hub CSPM. AWS Para obter detalhes sobre os requisitos específicos com suporte em um controle, escolha o controle. Em seguida, consulte o campo Requisitos relacionados nos detalhes do controle. Esse campo especifica cada requisito do NIST com suporte no controle. Se o campo não especificar um requisito específico do NIST, o controle não oferecerá suporte ao requisito.
-
[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
-
[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada
-
[CloudTrail.3] Pelo menos uma CloudTrail trilha deve ser ativada
-
[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada
-
[CloudWatch.1] Um filtro métrico de log e um alarme devem existir para uso do usuário “root”
-
[CloudWatch.15] CloudWatch os alarmes devem ter ações especificadas configuradas
-
[EC2.6] O registro de fluxo de VPC deve ser ativado em todas as VPCs
-
[EC2.10] O Amazon EC2 deve ser configurado para usar endpoints VPC criados para o serviço Amazon EC2
-
[EC2.16] As listas de controle de acesso à rede não utilizadas devem ser removidas
-
[EC2.19] Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco
-
[EC2.20] Ambos os túneis VPN para umAWSSite-to-Site A conexão VPN deve estar ativa
-
[EC2.51] Os endpoints do EC2 Client VPN devem ter o registro de conexão do cliente ativado
-
[ELB.3] Os ouvintes do Classic Load Balancer devem ser configurados com terminação HTTPS ou TLS
-
[IAM.1] As políticas do IAM não devem permitir privilégios administrativos “*” completos
-
[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas
-
[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes
-
[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas
-
[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes
-
[IAM.11] Certifique-se de que a política de senha do IAM exija pelo menos uma letra maiúscula
-
[IAM.12] Certifique-se de que a política de senha do IAM exija pelo menos uma letra minúscula
-
[IAM.13] Certifique-se de que a política de senha do IAM exija pelo menos um símbolo
-
[IAM.14] Certifique-se de que a política de senha do IAM exija pelo menos um número
-
[IAM.16] Certifique-se de que a política de senha do IAM evite a reutilização de senhas
-
[IAM.19] O MFA deve estar habilitado para todos os usuários do IAM
-
[IAM.22] As credenciais de usuário do IAM não usadas por 45 dias devem ser removidas
-
[NetworkFirewall.2] O registro do Firewall de Rede deve estar ativado
-
[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio
-
[S3.5] Os buckets de uso geral do S3 devem exigir solicitações para usar SSL
-
[S3.6] As políticas de bucket de uso geral do S3 devem restringir o acesso a outrosContas da AWS
-
[S3.9] Os buckets de uso geral do S3 devem ter o registro de acesso ao servidor ativado
-
[S3.11] Os buckets de uso geral do S3 devem ter as notificações de eventos ativadas
-
[S3.14] Os buckets de uso geral do S3 devem ter o controle de versão ativado
-
[S3.17] Os buckets de uso geral do S3 devem ser criptografados em repouso comAWS KMS keys
-
[SNS.1] Os tópicos do SNS devem ser criptografados em repouso usandoAWS KMS
-
[WAF.12]AWS WAFas regras devem ter CloudWatch métricas ativadas